AmCache으로 알 수 있는 것실행 파일의 목록, 전체 경로 확인파일의 최초 실행 시간, 삭제 시간 확인경로C:\Windows\appcompat\Programs\AmCache.hve분석 전 사용 프로그램Eric Zimmerman 툴 사용 https://ericzimmerman.github.io/#!index.mdAmcacheParser (Amcache.hve를 csv로 바꿔줌)Registry Explorer (Amcache.hve 확인)Timeline Explorer (csv 파일을 쉽게 보여줌)Kape (아티팩트 수집)Kape를 이용하여 아티팩트 수집Kape 다운로드 후 gkape.exe 실행 (gui 용 kape) Use Target options 선택 > Target source에서 대상 드라이브..
