1. Prefetch
  2. Registry
  3. LogFiles (Event Log)
  4. Ref.

Digital Forensic/Cheat Sheet

[Cheat Sheet] 파일 실행 아티팩트

asvv 2022. 10. 20. 16:23

Prefetch

.pf 파일로 이루어져 있음. 마지막으로 실행된 128개의 파일에 대한 정보를 저장함.

C:\Windows\prefetch

 

Registry

1. ShimCache (or AppCompatCache)

XP

HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatibility\AppCompatCache

(Non XP)

HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatCache\AppCompatCache

2. MUI Cache

(XP, 2000, 2003)

HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

(Vista, 7, 2008)

HKCU\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache

3. UserAssist

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

하위키에 실행 기록 있음.

LogFiles (Event Log)

추후 추가

 

Ref.

반응형
저작자표시

'Digital Forensic > Cheat Sheet' 카테고리의 다른 글

[Cheat Sheet] RDP 아티팩트  (0) 2022.12.16
[Cheat Sheet] Registry  (0) 2022.10.12
[Cheat Sheet] Powershell 흔적  (0) 2022.10.12

'Digital Forensic/Cheat Sheet'의 다른글

  • 현재글[Cheat Sheet] 파일 실행 아티팩트

관련글

댓글

티스토리툴바