반응형
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery (explorer내에서 검색) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU (실행에서 실행된 파일) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs (최근 문서) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Map Network Drive MRU (연결된적이있는 네트워크드라이브) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets (그림판, 워드패드 등 사용흔적) HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Excel\User MRU (MS 오피스 관련데이터) 어떤파일 실행(or 열람), 시간 및 순서 수동으로 해석
사용자 이름은??? 2개
A라는 사용자가 B의 데이터를 열람했다
nromanoff
vibranium
윈도우 검색기능을 사용해서 검색한 내용은??
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery
MRUListEx >> 1,5,4,3,2,0
>> alloy, test-plan, vibranium, accounts,
myron maclain, adamantium.
2012-04-04 오후 3:45:18 +00:00
excel.exe를 실행한 횟수는?
Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count
RKPRY.RKR
4회 = value data에서 5~8번째 바이트
Wed, 04 April 2012 오후3:43:14 UTC = valuedata 뒷에서 5바이트째부터 8바이트 >> Dcode로 환산
가장최근에 열람한 excel 문서는?
2012-04-04 오후 3:43:16 +00:00
C:\Users\nromanoff\Documents\Undercover Agent-List-Classified\Agents-List-CLASSIFIED-TOP-SECRET\Undercover-Agents-List-For-United-Kingdom.xls
IE에서 타이핑한 주소들 및 가장 최근에 접속한 주소
의 접속 시간
Software\Microsoft\Internet Explorer\TypedURLs
2012-04-03 오후 10:37:55 +00:00
XP, 7??
({CEBFF5CD-ACE2-4F4F-9178-9926F41749EA} and {F4E57C4B-2036-45F0-A9AB-443BCFE33D9F}
요값이 xp에서는 아님
xp는 userassist에서 엑셀 카운트가 5부터
엔트리 길이가 7는 72바이트 xp는 16바이트
c:\User , c:\Documents and Settings 차이
만약 자료를 유출했다면 어떤방법으로 어디로 했을까?
URL , FTP반응형