FTK 실무 활용 가이드
- FTK 기본 사용법
- 윈도우 아티팩트 분석
- 데이터 은닉 추적 기법
SRUM 분석 [ by 김종광 ]
SRUM 분석
응용프로그램 실행 흔적을 추적하기 위해 SRUM 항목을 분석합니다.
SRUM 분석
C:\Windows\System32\Config\SOFTWARE 경로로 이동합니다.
SRUM 분석
Registry 경로를 직접 찾아가기 위해 View 모듈을 실행합니다.
-
1. SYSTEM 파일 선택
-
2. 마우스 우클릭
-
3. View 모듈 실행
SRUM 분석
SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SRUM\Extensions 위치로 이동합니다.
SRUM 분석
Local Settings\Software\Microsoft\Windows\Shell\MUICache 경로로 이동합니다.
-
1. ESE Database Table Name
ESE Database Table Name 구조
| 키 이름(Key Name) | 설명 |
|---|---|
| {DD6636C4-8929-4683-974E-22C046A43763} | Network Connectivity data |
| {D10CA2FE-6FCF-4F6D-848E-B2E99266FA89} | Application Resource usage data |
| {973F5D5C-1D90-4944-BE8E-24B94231A174} | Network usage data |
| {D10CA2FE-6FCF-4F6D-848E-B2E99266FA86} | Windows Push Notification data |
| {FEE4E14F-02A9-4550-B5CE-5FA2DA202E37} | LT Energy usage data |
SRUM 분석
C:\Windows\System32\sru\SRUDB.dat 위치로 이동합니다.
SRUM 분석
SRUDB.dat 파일의 내부를 확인하기 위해 View 모듈을 실행합니다.
-
1. SRUDB.dat 파일 선택
-
2. 마우스 우클릭
-
3. View 모듈 실행
SRUM 분석
응용프로그램의 사용 리소스를 모니터링한 결과를 볼 수 있습니다.
-
1. 응용프로그램의 실행 시간
-
2. 응용프로그램 실행 위치
-
3. 응용프로그램 실행 사용자 정보