[인프런] 35. ThumbnailCache & IconCache ~ 36. Windows Timeline

- ThumbnailCache

썸네일(Thumbnail)
: '미리보기 파일'을 의미함

 

- Windows에서는 썸네일 사진들을 미리 생성하여 보관하고 있음
% UserProfile% \AppData \Local \ Microsoft \ Windows \ Explorer

thumbcache_{크기}.db

 

- IconCache

• Windows 아이콘(lcon)을 보여주기 위해서 가지고 있는 캐시
• 공통의 아이콘을 사용(일반적인 폴더, 파일)
• 별도의 아이콘을 사용(응용프로그램)

 

 

- Windows에서는 아이콘 사진들을 별도의 공간에 모아서 보관함
%UserProfile% \AppData\Local\Microsoft \ Windows\ Explorer

iconcache_ { }.db

 

ThumbnailCache & IconCache의 포렌식적 의미

ThumbnailCache
• 분석 대상 PC에 해당 파일이 존재하였음을 나타냄
• 해당 파일이 삭제되더라도 ThumbnailCache는 사라지지 않음

IconCache
• 분석 대상 PC에 존재했던 응용프로그램의 종류를 확인 가능
• 외부저장매체 사용 흔적 파악
• 안티포렌식 도구 사용 흔적, 악성코드 실행 흔적 파악
• 해당 응용프로그램이 삭제되더라도 lconCache는 사라지지 않음

 

 

 

 

 

-실습

 

Thumbcache Viewer 다운로드
Thumbcache Viewer - Extract thumbnail images from the thumbcache_*.db and iconcache_*.db database files.

 

 

 

 

이렇게 썸네일 사진 볼 수 있음

 

아이콘캐시 나오는 거 볼 수 있음

 

 

 

- Windows Timeline

 

• Windows에서 지원하는 Timeline 기능
• 사용자가 실행하고 있는 응용프로그램
• 사용자가 과거에 실행했던 응용프로그램
• 최대 30일의 사용자 행위를 보관

• Windows + Tab 버튼

 

 

설정 활성화

‘이 장치에 내 활동 기록 저장’ 설정

Timeline 데이터 저장 경로

- 유저 계정에 따라 경로가 달라짐

• 로컬 계정: L.{로컬 계정명}
• 마이크로소프트 계정: {마이크로소프트 식별자(CID)}
• Office 365 & AAD 계정: AAD.{보안 식별자(SID)}

 

%UserProfile%\AppData\Local\ConnectedDevicesPlatform\{계정명}\ActivitiesCache.db

 

 

 

 

 

ActivitiesCache.db 구조
• Activity: 응용프로그램 실행 기록, 실행 시간 등 보통의 Timeline 데이터
• ActivityOperation: 생성 혹은 삭제 이벤트에 대한 Timeline 데이터
• Activity_PackageId: 앱별 패키지 이름

 

 

 

Windows 10에서 2018년부터 추가된 기능
- Windows 11부터는 지원 중단 (지금 내 노트북)
그러나, 동일한 경로에 데이터가 생성된다고 함

- ‘활동 기록’ 메뉴 존재 안 함

 

• 포렌식적 의미
시간에 따른 사용자의 행위 추적

응용프로그램의 구체적인 사용 시각을 알 수 있음

 

 

 

- 실습

 

저장 경로 확인
• 계정명 확인
• %UserProfile%\AppData\Local\ConnectedDevicesPlatform\{계정명}\ActivitiesCache.db

• DB Browser for SQLite 활용

 

계정 2개임 확인.

첫번째 꺼는 오피스365, 두 번째 꺼는 마이크로소프트 식별자로 남음.

어떤 데이터 남는지 확인 가능