'event log'에 해당되는 글 2건

  1. 2012.05.14 Windows Files / 시간 정보
  2. 2012.05.14 Windows 8 Forensics - 3. Artifacts (2)

Windows Files / 시간 정보

Forensics 2012. 5. 14. 23:04 |

Windows Files / 시간 정보


Link - 링크 대상 Birth / Access / Modification


Prefetch - 마지막 실행 시간


INFO2 - 삭제된 시간


Event Log - 생성 시간 / 작성 시간


Registry - 마지막 쓰여진 시간


Index.dat - 방문시간


MFT - Birth / Modification / Changing / Access


'Forensics' 카테고리의 다른 글

Time Encoder 공유  (1) 2012.08.22
Windows 8 Forensics - 4. Registry  (0) 2012.05.14
Windows 8 Forensics - 3. Artifacts (2)  (0) 2012.05.14
Windows 8 Forensics - 2. Artifacts (1)  (0) 2012.05.14
Windows 8 Forensics - 1. Interface  (0) 2012.05.14
Posted by 도시형닌자
:

Windows 8 Forensics - 3. Artifacts (2)

Forensics 2012. 5. 14. 21:26 |

Windows 8 Forensics - 3. Artifacts (2)


- Event Log

Windows 7 / Windows 2008과 같은 EVTX 구조이다.

%SystemRoot%\Windows\System32\winevt\Logs\System.evtx
%SystemRoot%\Windows\System32\winevt\Logs\Security.evtx
%SystemRoot%\Windows\System32\winevt\Logs\Application.evtx


- Prefetch

기본 설정의 Windows 8Prefetch 파일을 가지고 있지 않다.

설정 정보
%SystemRoot%\Windows\System32\config\SYSTEM\ControlSet001\Control\Session Manager\
Memory Management\PrefetchParameters\EnablePrefetcher

Windows 7과 같은 경로를 가지고 있지만,  EnablePrefetcher  값은 존재하지 않는다.
EnablePrefetcher값을 생성하여, 부팅하여도 Prefetch는 생성되지 않는다.

Prefetch 경로
%SystemRoot%\Windows\Prefetch\


- $Recycle.Bin

%SystemRoot%\$Recycle.Bin\%USER SID%\


휴지통으로 파일을 옮기면 파일명이 변경된다. $RH#####.### / $IH#####.### 이런 식으로~

$RH는 파일이고 $IH는 해당 파일의 경로르 가지고 있다.

휴지통 비우기 전


휴지통 비우기 후





'Forensics' 카테고리의 다른 글

Windows Files / 시간 정보  (0) 2012.05.14
Windows 8 Forensics - 4. Registry  (0) 2012.05.14
Windows 8 Forensics - 2. Artifacts (1)  (0) 2012.05.14
Windows 8 Forensics - 1. Interface  (0) 2012.05.14
안드로이드 포렌식 3편 Log  (2) 2011.08.14
Posted by 도시형닌자
:

티스토리툴바