관심 세미나 등록

원하시는 세미나를 사전 등록하시면
세미나 오픈시 우선적으로 자동 신청되어 알려드립니다.

* 세미나 개최는 신청자가 많은 순으로 결정됩니다.

입사 지원

인섹시큐리티에서는 신입/경력부문 상시채용과 공개채용 방식을 같이 진행하고 있습니다
제출한 이력서 기반으로 지원자격 심사평가를 진행합니다.

MAGNET AXIOM

공인 교육센터

ShellBags 분석 [ by 김종광 ]

Shellbag 분석
Shellbag 데이터 분석을 위해 C:\User\[UserName]\NTUSER.DAT 파일을 선택합니다.

Shellbag 분석
Hive 파일 분석을 위해 View 옵션을 이용해 Registry viewer를 실행합니다.

Shellbag 분석
NTUSER.DAT 파일의 내부 구조는 아래와 같습니다.

Shellbag 분석
NTUSER.DAT\Software\Microsoft\Windows\Shell 경로로 이동합니다.

BagMRU / Bags ?

  • - Shell 폴더 하위 폴더인 BagMRU와 Bags 2개의 폴더가 Shellbags에 대한 정보를 담고 있습니다.

Shellbag 분석
해당 시스템에서 실행된 폴더의 기록을 확인하여 0번으로 디렉토리가 추가된 리스트 기록을 볼 수 있습니다.

Shellbag 분석
각 하위 폴더를 선택하면 실행된 폴더의 정보를 볼 수 있습니다.

  • 2. 0번 폴더의 정보가 저장되어 있습니다.

  • 3. 0번 폴더의 정보를 디코딩하여 확인 가능합니다.

Shellbag 분석
동일 디렉토리에서 서로 다른 2개의 폴더를 실행한 경우도 분석이 가능합니다.

  • 1. 0번 디렉토리 하위에 0번과 1번 디렉토리가 생성된것을 확인할 수 있습니다.

  • 2. 0번과 1번의 파일을 클릭하면 실행된 볼더의 이름을 확인할 수 있습니다.