Windows 10에서 부터 새롭게 추가된 TImeline Arfifact에 대해 최근에 알게 되어 정리해 본다.
Windows 10의 경우 윈도우 제어판의 activity history라는 메뉴가 있는데 기본적으로 사용자의 웹 브라우저 이용이나 앱사용 기록을 저장하도록 설정이 되어 있다.
위 설정을 통해 기존에 Prefatch나 브라우저 기록 캐쉬, 이벤트 로그들을 조사하여 분석해야 했던 사용자의 사용 기록을 보다 쉽게 분석을 진행할 수 있다. 보다 자세한 내용은 아래 글을 참고 하면 좋겠다.
belkasoft.com/windows-10-timeline-analysis
How To Analyze Windows 10 Timeline With Belkasoft Evidence Center
Temporal analysis of events (Timeline) can be beneficial when you want to reconstruct events related to computer incidents, data breaches, or virus attacks taking place on a victim’s computer. Historically, digital forensic timeline analysis has been bro
belkasoft.com
위 Windows 10 Timeline Artifact는 SQLlite로 생성되어 쉽게 분석을 하기 위해서는 해독기와 같은 파서(Parser)가 필요한데 무료 오픈 소스로 개발된 WxTCmd가 매우 유용하다.
해당 도구는 ericzimmerman.github.io/#!index.md 에서 다운로드 받을 수 있는데, 필자가 사용해본 결과 한글 인코딩에 문제가 있는 것을 확인하였다.
WxTCmd 는 Windows 10 기준 C:\Users\singl\AppData\Local\ConnectedDevicesPlatform 에 위치한 ActivitiesCache.db를 -f 옵션으로 지정하여 분석파일을 --cvs 를 통해 생성하는 방식으로 사용이 가능하다.
WxTCmd.exe -f ActivitiesCache.db --csv c:\temp위와 같은 명령을 통해 만들어진 csv를 확인해 보면, 한글이 깨져있는 것을 알 수 있다.
인코딩 문제로 직감하고 github의 개발자 repo를 확인하여 코드를 확인해 보니, 총 4곳에서 인코딩을 UTF-8이 아닌 ASCII로 진행하고 있었다.github.com/EricZimmerman/WxTCmd
뭔가 특별한 문제점이 있어 ASCII로 진행하는지는 모르지만, 이 4가지 부분을 UTF8로 수정하고 다시 컴파일해서 실행한 결과 한글 깨짐이 사라졌다.
원 개발자에게도 요청했 놓았으니, 곧 반영이 될 것이라 희망해 본다.
혹시 원 개발자가 패치하기 전에 수정버전을 사용하고자 하는 분은 아래 파일을 다운로드합니다.
'.Net' 카테고리의 다른 글
| .NET - HTML 특정 문자열 추출, DocumentNode.SelectNodes 검색하기 (0) | 2022.04.05 |
|---|---|
| .Net - naver, daum, google,kakao SMTP 메일 설정 및 보내기 Implicit SSL 포함 (0) | 2022.03.25 |
| 텍스트 - 콘솔 글씨 꾸미기 (0) | 2021.02.10 |
| .NET - Audit.log Unix FileTime 계산하기 (0) | 2021.01.18 |
| .Net - Easy to make log file Console App (0) | 2020.12.19 |
