[ccibomb@CRG]# _bykim

<DFRWS USA 2019> - 3일차

【 2019. 7. 16. 】

□ Presentations: Artifacts & Interpretation

  ◦ 좌 장 : Erika Noerenberg (Carbon Black)

  ◦ 발표 3

    ※ 기존 프로그램상 Steve Watson(VTO Labs)의 ‘Old Filesystems in New IoT Devices’은 취소됨

     - 주제 : 윈도우 10 운영체제의 Activity 타임라인 포렌식
               (원제 : An Incomplete Tour of the Forensic Implications of the Windows 10 Activity Timeline)

     - 발표자 : Vico Marziale, Ph.D. (BlackBag Technologies)

     - 발표내용

       △ Windows 10 운영체제 버전 1803부터 Activity Timeline 기능이 배포됨

       △ Activity Timeline은 웹사이트 접속, 문서 열람 및 편집, 응용프로그램 실행 등 사용자가 특정 활동(Acitivity)시 많은 유형의 로그를 기록함

       △ 타임라인 기록은 SQLite DB 형식으로 다음 경로에 저장됨

        · C:\Users\<profile>\AppData\Local\ConnectedDevicesPlatform\L.<UserName>\ActivitiesCache.db

       △ ActivitiesCache.db 파일을 열어보면 8개 테이블을 확인됨

       △ 데이터는 30일까지 저장되지만 SQLite DB형식임을 고려할 때, 복구툴을 이용하여 삭제된 내역 복구될 가능성 제시

[졸업논문] A Forensic Analysis of the Windows Registry.pdf

요 약

Windows Registry에 남아있는 정보와 잠재적 증거들은 중요한 포렌식 자원이다. 포렌식 관점에서 레지스트리의 원리를 이해하는 것은, 조사관이 해당 시스템에서 어떠한 작업이 이루어졌는지 보다 정확하게 설명하는데 도움이 된다. 이 논문은 흔히 확인하는 로그 파일을 넘어서 추가적으로 레지스트리 조사에 의해, 어떤 종류의 데이터가 찾아질 수 있고 이를 어떻게 찾으며, 이는 포렌식 관점에서 어떤 방식으로 설명될 수 있는지 예시를 들어 설명한다.

ABSTRACT

The data and potential evidences contained in Windows Registry can be the significant forensic resources. Investigators can explain the situation which happened in the system in detail when he or she recognize the fundamentals of the Registry. This report explains what kind of data can be found, how to find them, and how they can be explained in accordance with forensics, by investigating the Registry.

Keywords : 디지털 증거, 레지스트리 분석, 윈도우 포렌식