BAM
BAM (Background Activity Moderator)
- Windows 10 빌드 버전 1709 이상에서만 아티팩트 수집 가능
- 백그라운드 응용 프로그램의 활동을 제어하는 Windows 서비스
- Prefetch 또는 ShimCache와 같은 아티팩트와 달리 프로그램을 실행 한 특정 사용자를 식별할 수 있음
- 레지스트리 경로에 있는 실행 파일의 전체 경로를 확인 가능
저장 위치
HKLM\SYSTEM\ControlSet001\Services\bam\State\UserSettings\{SID}
현재 시스템의 모든 사용자 SID를 나열
BAM 아티팩트 레지스트리 경로에 이동하면 사용자 SID 별 서브키가 생성되어 있으며 실행 된 응용 프로그램 경로 확인 가능
마지막 실행 시간을 확인하기 위해서는 해당 레지스트리 밸류 값 맨 처음 8바이트를 통해 확인 가능(FILETIME 64-bit little Endian 방식)
Dcode – Timestamp Decoder ( https://www.digital-detective.net/dcode/ )
[ BAM을 분석하는 이유 ]
시스템 및 마지막 실행시간, 날짜 정보 확인 가능
실행 파일의 전체 경로 확인 가능
[ BAM 레지스트리 경로 ]
C:\Windows\System32\Config\SYSTEM
[ BAM 레지스트리 경로 ]
SYSTEM\ControlSet00x\Services\bam\State\UserSettings
현재 시스템에 등록된 모든 사용자 SID 정보 확인
시스템에서 실행 된 실행 파일의 전체 경로 확인
DAM을 분석하는 이유
[ DAM 저장파일 위치 ]
C:\Windows\System32\drivers\dam.sys
[ DAM 레지스트리 경로 ]
C:\Windows\System32\Config\SYSTEM
[ DAM 레지스트리 경로 ]
SYSTEM\ControlSet00x\Services\dam
