반응형
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery (explorer내에서 검색) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU (실행에서 실행된 파일) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs (최근 문서) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Map Network Drive MRU (연결된적이있는 네트워크드라이브) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets (그림판, 워드패드 등 사용흔적) HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Excel\User MRU (MS 오피스 관련데이터) 어떤파일 실행(or 열람), 시간 및 순서 수동으로 해석
사용자 이름은??? 2개 A라는 사용자가 B의 데이터를 열람했다 nromanoff vibranium 윈도우 검색기능을 사용해서 검색한 내용은?? NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery MRUListEx >> 1,5,4,3,2,0 >> alloy, test-plan, vibranium, accounts, myron maclain, adamantium. 2012-04-04 오후 3:45:18 +00:00 excel.exe를 실행한 횟수는? Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count RKPRY.RKR 4회 = value data에서 5~8번째 바이트 Wed, 04 April 2012 오후3:43:14 UTC = valuedata 뒷에서 5바이트째부터 8바이트 >> Dcode로 환산 가장최근에 열람한 excel 문서는? 2012-04-04 오후 3:43:16 +00:00 C:\Users\nromanoff\Documents\Undercover Agent-List-Classified\Agents-List-CLASSIFIED-TOP-SECRET\Undercover-Agents-List-For-United-Kingdom.xls IE에서 타이핑한 주소들 및 가장 최근에 접속한 주소 의 접속 시간 Software\Microsoft\Internet Explorer\TypedURLs 2012-04-03 오후 10:37:55 +00:00 XP, 7?? ({CEBFF5CD-ACE2-4F4F-9178-9926F41749EA} and {F4E57C4B-2036-45F0-A9AB-443BCFE33D9F} 요값이 xp에서는 아님 xp는 userassist에서 엑셀 카운트가 5부터 엔트리 길이가 7는 72바이트 xp는 16바이트 c:\User , c:\Documents and Settings 차이 만약 자료를 유출했다면 어떤방법으로 어디로 했을까? URL , FTP
반응형