Windows Notification Center
개요
- 윈도우 폰 8.1에서 처음 소개되었으며 윈도우10이 출시되면서 데스크 탑에 도입
- 4개의 설정 바로 가기를 통해 해당 설정으로 빠르게 이동 가능
- 윈도우 10에서는 알림 센터에서 바로 가기를 확장하여 모든 설정 바로 가기 가능
포렌식 관점
윈도우 10 스토어를 통해 다운받은 SNS 앱의 메시지나 컴퓨터의 실행 메시지 정보 획득가능
MSOffice, Slack 등 사용자가 지정한 어플리케이션의 이벤트 분석 가능
일정, 약속 등과 같은 이벤트 분석 가능
저장 위치
C:\Users\UserName\AppData\Local\Microsoft\Windows\Notifications\wpndatabase.db
SQL Format 3 타입으로 SQL Database Viewer를 이용하여 오픈가능
Windows Notification Center
윈도우 바탕화면에서 제공되는 알림기능을 확인 가능 Slack을 이용한 메시지 기록을 확인할 수 있음
파일 저장 위치
C:\Users\UserName\AppData\Local\Microsoft\Windows\Notifications 경로로 이동 wpndatabase.db 파일 확인
DB 데이터 확인
DB Browser for SQL을 이용하여 테이블 정보 확인
AXIOM Process 수집 항목 확인
[ 컴퓨터 아티팩트 ] - [ 운영체제 ] - [ 알림 센터 체크 ]
AXIOM Examine 수집 항목 분석
AXIOM Examine을 이용하여 수집 완료된 데이터에서 알림센터를 확인합니다
AXIOM Examine 수집 항목 분석
알람이 발생한 시점의 시간 정보를 확인할 수 있으며, 알람 정보는 약 4일간 저장됩니다.
Database 경로 이동
EnCase의 경우 컬럼 필터를 활용하거나 직접 경로를 찾는 방법을 활용
Open With 사용
SQL Format 3 타입의 DB를 보기 위해서 외부 Viewer를 활용
Database File 찾기
wpndatabase.db 파일 내부 Table 구조를 확인할 수 있습니다.
Notification Table
Forensic 적의로 의미있는 데이터를 저장하고 있는 Table 정보
Database 경로 이동
Explorer Tab에서 파일시스템 경로를 이동하여 직접 wpndatabase.db 선택합니다.
Database 경로 이동
OverView Tab을 이용하여 파일의 카테고리를 분류하여 wpndatabase.db 파일 찾기습니다.
Database 뷰어 설정
외부 뷰어를 이용하여 DB 파일을 분석할 수 있습니다.
Database Table 분석
wpndatabase.db 파일 내부 Table 구조를 확인할 수 있습니다.
Database Table 분석
Forensic 적의로 의미있는 데이터를 저장하고 있는 Table 정보입니다.
Database 경로 이동
경로 이동 또는 컬럼 필터 기능을 통해 wpndatabase.db 파일을 찾을 수 있습니다
데이터 구조 분석
단일 파일 R.V.S 분석 기능을 통해 DB 파일 내부 구조를 파악합니다
데이터 구조 분석
R.V.S 항목 중 박스 부분의 옵션을 선택 후 분석을 진행합니다
데이터 구조 분석
Exploere를 이용해 DB파일 내부로 접근합니다.
데이터 구조 분석
Notification Table을 이용하여 알람 정보를 받아 볼 수 있습니다
