Description Windows Background Activity Moderator (BAM) Location Win10: SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID} SYSTEM\CurrentControlSet\Services\dam\UserSettings\{SID} Investigative Notes Provides full path of the executable file that was run on the system and last execution date/time
Description • Windows Application Compatibility Database is used by Windows to identify possible application compatibility challenges with executables. • Tracks the executables file name, file size, last modified time, and in Windows XP the last update time
Interpretation: Any executable run on the Windows system could be found in this key. You can use this key to identify systems that specific malware was executed on. In addition, based on the interpretation of the time-based data you might be able to determine the last time of execution or activity on the system. • Windows XP contains at most 96 entries - LastUpdateTime is updated when the files are executed • Windows 7 contains at most 1,024 entries - LastUpdateTime does not exist on Win7 systems
c.f) Windows 10 Timeline
Description Win10 records recently used applications and files in a “timeline” accessible via the “WIN+TAB” key. The data is recorded in a SQLite database.
Interpretation Each GUID key points to a recent application. AppID = Name of Application LastAccessTime = Last execution time in UTC LaunchCount = Number of times executed
- 예를 들어, 3월 24일 WebCache를 분석하는 경우에도 3월 1일까지의 쿠키가 확인될 수 있음 (3월 1일부터 3월 24일까지 기간 중 4일(ex. 3월 3일, 3월 5일, 3월 7일, 3월 9일) 동안에는 인터넷 접속을 하지않은 경우)
- 실제 분석 예) 2019. 3. 2. 획득한 WebCache 파일 내에서 2019. 2. 7.경의 정보까지 확인됨. 20일을 초과하여 저장된 이유를 확인한 바, 총 4일(2019. 2. 10., 2. 17., 2. 23., 2. 24.) 동안 PC가 켜지지 않았음. 아래는 PC의 On, Off 기록
1
2019-02-07 08:52:09
On
2019-02-07 16:20:42
Off
2
2019-02-08 09:12:50
On
2019-02-08 16:48:35
Off
3
2019-02-09 09:08:53
On
2019-02-09 16:53:03
Off
4
2019-02-11 09:12:34
On
10
2019-02-11 17:00:27
Off
5
2019-02-12 09:17:28
On
2019-02-12 16:45:47
Off
6
2019-02-13 12:29:05
On
2019-02-13 16:46:11
Off
7
2019-02-14 09:08:28
On
2019-02-14 10:18:10
Off
8
2019-02-15 09:08:39
On
2019-02-15 16:59:19
Off
9
2019-02-16 09:06:41
On
2019-02-16 16:42:06
Off
10
2019-02-18 09:10:42
On
17
2019-02-18 16:41:31
Off
11
2019-02-19 09:07:33
On
2019-02-19 15:43:10
Off
12
2019-02-20 09:11:06
On
2019-02-20 16:52:36
Off
13
2019-02-21 09:19:46
On
2019-02-21 16:39:30
Off
14
2019-02-22 09:12:21
On
2019-02-22 09:51:24
Off
23
15
2019-02-25 08:57:37
On
24
2019-02-25 16:34:36
Off
16
2019-02-26 08:41:27
On
2019-02-26 15:30:22
On
2019-02-26 16:37:32
Off
17
2019-02-27 08:50:59
On
2019-02-27 16:36:49
Off
18
2019-02-28 09:49:14
On
2019-02-28 16:53:29
Off
19
2019-03-01 08:39:02
On
2019-03-01 16:17:47
Off
20
2019-03-02 08:44:17
On
* WebCache01.dat 파일 생성시각
- Windows OS 부팅/로그인시 생성되는 것으로 보임
-부팅 후 브라우저에서 작업중인 내용은 WebCache01.dat 파일이 저장되는 같은 폴더(%UserProfile%\AppData\Local\Microsoft\Windows\WebCache\)내에 V01002E0.log 등과 같은 형태로 저장됨(이 또한 실시간 저장되는 것은 아닌 것으로 보임)
- 따라서 WebCache01.dat 파일 획득을 위해서는 “Clean Shutdown(Windows OS 정상종료)” 상태로 수집되어야 함 (Live 상태로 WebCache01.dat 수집하는 경우, 당해 부팅 이전 시점까지의 Cache, History, Cookie, Download List 등만 확인 가능함)
* History 中 실제 해당 페이지 방문시각 정보는 'modified time'에 기록됨
- 같은 IE10 브라우저 내의 서로 다른 탭에서 검색을 한 뒤 해당 브라우저 종료시 ‘Modified Time’은 정상적으로 저장되나, ‘Accessed Time’은 여러 탭 중 하나라도 마지막으로 검색을 한 시점으로 일괄 저장됨
-> WEFA(by 4n6tech.com)에서는 방문시각을 ‘Accessed Time’ 정보를 보여주기 때문에 서로 다른 시각에 검색을 하였음에도 같은 시간정보를 보여줌(WEFA 사용하여 분석시 주의 필요!)
-> IE10Analyzer(by 김정현)에서는 모든 시간정보(Modified Time, Accessed Time, Expiry Time)를 표시해줌. 그중에서 ‘Modified Time’ 정보가 실제 방문시각임
-> BrowsingHistoryview(By Nirsoft)에서는 ‘Modified Time’ 정보를 방문시각으로 표시하고 있음
* Test 기록 (환경: IE11, Win7)
- 09:24 IE10 브라우저 시작
- 09:24 ~ 09:25 1~3번탭 네이버검색
- 09:25 IE10 브라우저 종료
- 09:29 IE10 브라우저 재시작
- 09:30 1~3번탭 네이버검색
- 09:31 IE10 브라우저 종료
- 09:34 IE10 브라우저 재시작
- 09:34 1~3번탭 네이버검색
- 09:35 1~3번탭 네이버검색
- 09:36 IE10 브라우저 종료, 시스템 종료
-> WEFA
-> IE10Analyzer
-> BrowsingHistoryView
* WebCache 분석 中 추가 확인이 필요한 사항 (아시는 분은 댓글로 알려주시면 정말 감사하겠습니다.)
- access time이 modified time과 차이가 발생하는 이유 (PC는 매일 On/Off되었음에도 불구하고 길게는 10여일 이상 차이가 발생하기도 함)
