<DFRWS USA 2019> - 3일차
【 2019. 7. 16. 】
□ Presentations: Artifacts & Interpretation
◦ 좌 장 : Erika Noerenberg (Carbon Black)
◦ 발표 3
※ 기존 프로그램상 Steve Watson(VTO Labs)의 ‘Old Filesystems in New IoT Devices’은 취소됨
- 주제 : 윈도우 10 운영체제의 Activity 타임라인 포렌식
(원제 : An Incomplete Tour of the Forensic Implications of the Windows 10 Activity Timeline)
- 발표자 : Vico Marziale, Ph.D. (BlackBag Technologies)
- 발표내용
△ Windows 10 운영체제 버전 1803부터 Activity Timeline 기능이 배포됨
△ Activity Timeline은 웹사이트 접속, 문서 열람 및 편집, 응용프로그램 실행 등 사용자가 특정 활동(Acitivity)시 많은 유형의 로그를 기록함
△ 타임라인 기록은 SQLite DB 형식으로 다음 경로에 저장됨
· C:\Users\<profile>\AppData\Local\ConnectedDevicesPlatform\L.<UserName>\ActivitiesCache.db
△ ActivitiesCache.db 파일을 열어보면 8개 테이블을 확인됨
△ 데이터는 30일까지 저장되지만 SQLite DB형식임을 고려할 때, 복구툴을 이용하여 삭제된 내역 복구될 가능성 제시
'Digital Forensics' 카테고리의 다른 글
| DFRWS USA 2019 - 포스터 (0) | 2019.10.17 |
|---|---|
| DFRWS USA 2019 - 디지털포렌식 트리아지(Memory forensics as Triage Analysis) (0) | 2019.10.17 |
| DFRWS USA 2019 - 안드로이드 오토, 구글 어시스턴트 아티팩트 (0) | 2019.10.17 |
| DFRWS USA 2019 - 손상된 디지털기기 복원 (0) | 2019.10.17 |
| DFRWS USA 2019 - 사이버수사 온톨로지 'CASE' (0) | 2019.10.17 |
