Window Artifacts(2)

7. Prefetch

• 윈도우 XP부터 운영체제에서 제공하는 메모리 관리 정책
• 실행파일을 메모리로 효율적으로 로딩하기 위해 개발됨
  • 컴퓨터에 장착된 드라이버와 서비스, 폴더 정보, 어플리케이션 정보 등을 미리 읽음
• 응용프로그램의 이름, 실행 횟수, 마지막 실행 시간, 볼륨 정보 
  • Layout.ini 파일에는 프리패치 파일에 대한 목록이 저장

-> 사용자가 실행한 응용프로그램 이름 확인

-> 응용프로그램 실행 횟수

-> 응용프로그램 마지막 실행 시간

Layout.ini 파일

 

8. ShimCache

• AppCompatCache라고도 불림
• 응용 프로그램 간 호환성 제어 및 트러블 슈팅과 문제 해결
  • 악성코드 실행 시 호환성 문제 발생 -> 침해사고 분석에 활용
• 모든 실행 파일의 경로, 크기, 마지막 수정시간
• 프리패치와 비슷한 응용프로그램의 실행 정보 저장
  • 프리패치는 한정적이라 사라질 가능성 존재

 

9. AmCache

• 윈도우7에서의 RecentFileCache.bcf -> 윈도우 8에서 AmCache.hve 파일로 대체
• 프로그램 호환성 관리자와 관련된 레지스트리 하이브 파일
• 응용프로그램의 실행정보 저장
• 프리패치 파일과 병행하면 프로그램의 전체적인 타임라인 구성 가능

 

10. MUICache

• 다중 언어를 지원하기 위해 프로그램 이름을 캐쉬화하는 기능
• 프로그램이 한 번이라도 실행됐다면 목록에 저장되고 사용자가 일부러 지우지 않는 이상 그래도 존재함
  • 삭제한 프로그램의 기록도 남아있음
• 각가의 국가별로 프로그램 명칭 및 경로를 관리함

 

11. SRUM

• 시스템 자원 활용도를 추적하는데 사용
• 응용프로그램 시작 실행자, 실행 시간이나 삭제/제거/외부 프로그램 추적 정보 확인
• SRUM 레지스트리는 데이터 보관을 위한 임시 저장 위치이고 데이터는 SRUM.dat 파일에 저장

 

12. Timeline

• 작업 표시줄에 있으며, 현재 실행 중인 어플리케이션이나 지난 활동을 표시
• 인터넷 검색 기록, 자주 열어본 파일 등을 시간대 별로 보여줌

윈도우 + tab 키 

 

12. Event Logs

• 윈도우 운용과정에서 발생하는 특정 이벤트들을 종합적이고 체계적으로 로그를 기록함
• 기록된 로그들은 각각 이벤트 ID가 할당됨

window + r, evnetvwr

 

 

 

 

 

주요 이벤트 로그

• Application.evtx
• System.evtx
• Setup.evtx
• Security.evtx

 

 

 

 

 

 

 

 

 

 

 

 

각 항목 클릭 후 속성 설정이 가능함 -> 최대 로그 크기를 늘리면 좋음