FTK 실무 활용 가이드
- FTK 기본 사용법
- 윈도우 아티팩트 분석
- 데이터 은닉 추적 기법
ShimCache 로그 분석 [ by 김종광 ]
ShimCache 분석
응용프로그램 실행 흔적을 추적하기 위해 ShimCache 항목을 분석합니다.
ShimCache 분석
Windows\System32\Config\SYSTEM 레지스트리 파일을 선택합니다.
-
1. SYSTEM 파일 선택
-
2. 마우스 우클릭
-
3. View 모듈 실행
ShimCache 분석
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache\AppCompatCache 위치로 이동합니다.
ShimCache 분석
실행 된 응용프로그램의 시간과 리스트를 확인할 수 있습니다.
-
1. AppCompatCache : 응용프로그램 실행 정보 기록
-
2. 1번의 정보를 읽기 쉽도록 자동 변환