File System Information
BAM(Background Activity Moderator)
- 백그라운드 응용 프로그램의 활동을 제어하는 Windows 서비스로 윈도우 10에 존재
- 시스템 및 마지막 실행 시간, 날짜 정보 확인 가능
- 레지스트리 경로에 있는 실행 파일의 전체 경로를 확인 가능
저장 위치
HKLM\SYSTEM\ControlSet001\Services\bam\State\UserSettings
현재 시스템의 모든 사용자 SID를 나열
DAM(Desktop Activity Moderator)
- 장치의 일관된 배터리 수명을 보장하도록 설계된 윈도우 8의 새로운 기능
- 연결된 대기 모드 지원 - 연결된 대기 모드 지원
- 연결된 대기 모드란? 장치가 켜져 있지만 화면이 꺼져있는 상태.(시스템은 기술적으로 켜져 있음) - 연결된 대기 입력시 시스템 전체에서 데스크탑 소프트웨어 프로세스를 일시 중단하거나 제한
- DAM은 절전모드와 유사한 방식으로 데스크톱 응용 프로그램 실행을 억제 - dam 서비스는 dam.sys 파일을 사용
저장 위치
C:\Windows\System32\drivers\dam.sys
[ BAM을 분석하는 이유 ]
시스템 및 마지막 실행시간, 날짜 정보 확인 가능
실행 파일의 전체 경로 확인 가능
[ BAM 레지스트리 경로 ]
C:\Windows\System32\Config\SYSTEM
[ BAM 레지스트리 경로 ]
SYSTEM\ControlSet00x\Services\bam\State\UserSettings
현재 시스템에 등록된 모든 사용자 SID 정보 확인
시스템에서 실행 된 실행 파일의 전체 경로 확인
DAM을 분석하는 이유
[ DAM 저장파일 위치 ]
C:\Windows\System32\drivers\dam.sys
[ DAM 레지스트리 경로 ]
C:\Windows\System32\Config\SYSTEM
[ DAM 레지스트리 경로 ]
SYSTEM\ControlSet00x\Services\dam
