Windows 8 Forensics - 3. Artifacts (2)
Forensics 2012. 5. 14. 21:26 |Windows 8 Forensics - 3. Artifacts (2)
- Event Log
Windows 7 / Windows 2008과 같은 EVTX 구조이다.
%SystemRoot%\Windows\System32\winevt\Logs\System.evtx
%SystemRoot%\Windows\System32\winevt\Logs\Security.evtx
%SystemRoot%\Windows\System32\winevt\Logs\Application.evtx
- Prefetch
기본 설정의 Windows 8은 Prefetch 파일을 가지고 있지 않다.
설정 정보
%SystemRoot%\Windows\System32\config\SYSTEM\ControlSet001\Control\Session
Manager\
Memory Management\PrefetchParameters\EnablePrefetcher
Windows 7과 같은 경로를 가지고 있지만, EnablePrefetcher 값은 존재하지 않는다.
EnablePrefetcher값을 생성하여, 부팅하여도 Prefetch는 생성되지 않는다.
Prefetch 경로
%SystemRoot%\Windows\Prefetch\
- $Recycle.Bin
%SystemRoot%\$Recycle.Bin\%USER SID%\
휴지통으로 파일을 옮기면 파일명이 변경된다. $RH#####.### / $IH#####.### 이런 식으로~
$RH는 파일이고 $IH는 해당 파일의 경로르 가지고 있다.
휴지통 비우기 전
휴지통 비우기 후
'Forensics' 카테고리의 다른 글
| Windows Files / 시간 정보 (0) | 2012.05.14 |
|---|---|
| Windows 8 Forensics - 4. Registry (0) | 2012.05.14 |
| Windows 8 Forensics - 2. Artifacts (1) (0) | 2012.05.14 |
| Windows 8 Forensics - 1. Interface (0) | 2012.05.14 |
| 안드로이드 포렌식 3편 Log (2) | 2011.08.14 |