[디지털포렌식] ThumbnailCache, IconCache, Windows Timeline, Event Logs

728x90

[목차]

01 ThumbnailCache

02 IconCache

03 Windows Timeline

04 Event Logs

ThumbnailCache

ThumbnailCache이란?

• 썸네일(Thumbnail)
• ‘미리보기 파일’을 의미함

Windows에서는 썸네일 사진들을 미리 생성하여 보관하고 있음
• %UserProfile%\AppData\Local\Microsoft\Windows\Explorer

• thumbcache_{크기}.db

포렌식적 의미
• 분석 대상 PC에 해당 파일이 존재하였음을 나타냄
• 해당 파일이 삭제되더라도 ThumbnailCache는 사라지지 않음

IconCache

IconCache란?

Windows 아이콘(Icon)을 보여주기 위해서 가지고 있는 캐시
• 공통의 아이콘을 사용(일반적인 폴더, 파일)
• 별도의 아이콘을 사용(응용프로그램)

Windows에서는 아이콘 사진들을 별도의 공간에 모아서 보관함
• %UserProfile%\AppData\Local\Microsoft\Windows\Explorer

• iconcache_{}.db

포렌식적 의미

• 분석 대상 PC에 존재했던 응용프로그램의 종류를 확인 가능
• 외부저장매체 사용 흔적 파악
• 안티포렌식 도구 사용 흔적, 악성코드 실행 흔적 파악
• 해당 응용프로그램이 삭제되더라도 IconCache는 사라지지 않음

[ThumbnailCache & IconCache 실습]

Thumbcache Viewer 다운로드
• https://thumbcacheviewer.github.io/

Thumbcache Viewer - Extract thumbnail images from the thumbcache_*.db and iconcache_*.db database files.

Thumbcache Viewer Thumbcache Viewer allows you to extract thumbnail images from the thumbcache_*.db and iconcache_*.db database files found on Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows 10, and Windows 11. The program comes in two flavors: a

thumbcacheviewer.github.io

위 링크를 타고 들어가 64bit 버전으로 다운로드를 받는다.

%UserProfile%\AppData\Local\Microsoft\Windows\Explorer

이 경로로 들어가서 썸네일캐시 중에 아무거나 파일 하나를 올려준다.

나는 thumbcache_48 파일을 열었다.

파일을열어주면 위와 같이 정보가 출력되고

눌러보면 썸네일 데이터들을 확인할 수 있다.

Windows Timeline

Windows Timeline이란?

Windows에서 지원하는 Timeline 기능
• 사용자가 실행하고 있는 응용프로그램
• 사용자가 과거에 실행했던 응용프로그램
• 최대 30일의 사용자 행위를 보관

• Windows + Tab 버튼

설정 활성화
• 이 장치에 내 활동 기록 저장’ 설정

Timeline 데이터 저장 경로
• 유저 계정에 따라 경로가 달라짐
• 로컬 계정: L.{로컬 계정명}
• 마이크로소프트 계정: {마이크로소프트 식별자(CID)}
• Office 365 & AAD 계정: AAD.{보안 식별자(SID)}
• %UserProfile%\AppData\Local\ConnectedDevicesPlatform\{계정명}\ActivitiesCache.db

ActivitiesCache.db 구조
• Activity: 응용프로그램 실행 기록, 실행 시간 등 보통의 Timeline 데이터
• ActivityOperation: 생성 혹은 삭제 이벤트에 대한 Timeline 데이터
• Activity_PackageId: 앱별 패키지 이름

Windows 10에서 2018년부터 추가된 기능
• Windows 11부터는 지원 중단
• 그러나, 동일한 경로에 데이터가 생성됨을 확인
• ‘활동 기록’ 메뉴 역시 그대로 존재

포렌식적 의미
• 시간에 따른 사용자의 행위 추적
• 응용프로그램의 구체적인 사용 시각을 알 수 있음

[Windows Timeline 실습]

저장 경로 확인
• 계정명 확인
• %UserProfile%\AppData\Local\ConnectedDevicesPlatform\{계정명}\ActivitiesCache.db

%UserProfile%\AppData\Local\ConnectedDevicesPlatform\

위 경로를 복사해서 경로로 들어가준다.

폴더 안에 들어가보면 액티비티 캐시들을 확인할 수 있다.

ActivitiesCache.db 파일을 sqlite 프로그램에서 열어보았다.

AAD 계정은 오피스 365 계정이라고 한다. 오피스 관련 데이터들이 남아있는 걸 확인할 수 있다.

Event Logs

로그란?
컴퓨터를 이용한 기록 등이 컴퓨터 내에 남아있는 것

이벤트 로그(Event Logs)란?
• Windows 운영체제에서 시스템의 로그를 남기는 방식
• 이벤트 뷰어(Event Viewer)를 통해 확인할 수 있음
• 시스템 로그, 응용프로그램 로그, 보안 로그 등이 존재

이벤트 로그(Event Logs)
• 응용 프로그램 로그
• 보안 로그
• Setup 로그
• 시스템 로그
• 응용프로그램 및 서비스 로그

1. 응용프로그램(Application)
• 시스템 구성 요소를 제외한 응용프로그램에서 발생한 이벤트기록 (데이터베이스오류, AV 로그 등)
• 기록할 이벤트유형은 응용프로그램 개발자가 결정

2. 보안(Security)
• 파일만들기, 열기 등의 리소스 사용 이벤트 및 로그인성공/실패, 보안정책 변경과 같은 보안이벤트
• 기록할 이벤트유형은 관리자에 의해 변경가능 (유일하게 사용자가 변경가능)

3. 설치 (Setup)
• 응용프로그램 설치 및 설정과 관련한 이벤트 기록

4. 응용 프로그램 및 서비스 로그
• Internet Explorer, Microsoft Office 및 Windows Application 들에서 생성하는 다양한 로그
• Windows Defender(디펜더), Partition Diagnostic(USB 연결 흔적), WLAN Autoconfig(Wifi 연결) 등

이벤트 로그 경로
• C:\Windows\System32\winevt\Logs

이벤트 ID
• 각각의 이벤트 로그는 이벤트 ID를 가짐
• 이벤트 ID 별로 나타내는 활동이 유사함
• ex) Logon: 4624, Logoff: 4634

어떤 이벤트 ID를 찾을 것인가?
• Spotting the Adversary with Windows Event Log Monitoring, NSA
• Windows 10 and Windows Server 2016 security auditing and monitoring reference, Microsoft
• 윈도우 이벤트 로그(EVTX) 분석 및 포렌식 활용방안, 강세림

이벤트 ID 검색 사이트
• https://kb.eventtracker.com/
• https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/Default.aspx
• https://eventid.net/ (현재 지원 중단)

[Event Logs 실습]

이벤트 ID를 찾아보자!
• 이벤트 뷰어 “사용자 지정 보기 만들기”

소프트웨어 설치, 업데이트 및 삭제
• 6,7045,1022,1033, 903-908, 800,2,19

사용자 로그인
• 4740,4728,2732,4756,4735,4624,4625,4648