[1] When was the password for ‘student’ account set?
gkape에서 logs파일을 추출한다.
FullEventLogView 프로그램에 추출한 logs 파일을 올리고 student 계정의 password가 설정된 Event ID 4724를 찾으면 다음과 같이 나온다.
student 계정의 pasword가 설정된 시간은 2022-05-02 12:36:47 (UTC+09:00)이다.
답) 2022-05-02 12:36:47 (UTC+09:00)
[2] When was the system last booted?
FullEventLogView 프로그램에서 시스템이 시작된 Event ID 6005를 찾으면 다음과 같다.
여기서 가장 최근에 시스템이 시작된 시간은 2022-05-02 14:51:58 (UTC+09:00)이다.
답) 2022-05-02 14:51:58 (UTC+09:00)
[3] When did the user (‘student’) lastly changed the system time?
FullEventLogView 프로그램에서 student 계정이 시스템 시간을 변경한 이벤트를 찾으면 다음과 같이 나온다.
그 중 가장 최근에 시스템 시간을 변경한 시각은 2022-05-02 16:58:03 (UTC+09:00)이다.
답) 2022-05-02 16:58:03 (UTC+09:00)
[4] How many files did the user delete with Eraser application (Eraser.exe) ?
FullEventLogView 프로그램에서 Eraser.exe가 파일을 삭제한 event를 찾으면 다음과 같이 삭제 파일 수는 3이라고 나온다.
답) 3
[5] What is the full path of the Prefetch file for Bandizip application (Bandizip.exe) ?
gkape에서 prefetch 파일을 추출한다.
추출한 파일을 WinPrefetchView 프로그램으로 분석하면 다음과 같이 나온다. BANDIZIP.EXE의 process path를 확인해보면 \PROGRAM FILES\Bandizip\Bandizip.exe이다.
답) \PROGRAM FILES\Bandizip\Bandizip.exe
[6] What is the last executed time of Bandizip application (Bandizip.exe) ?
BANDIZIP.EXE의 last run time을 확인해보면 다음과 같이 나온다.
이 중 가장 최근에 실행된 시각은 2022-05-02 14:57:21 (UTC+09:00)이다.
답) 2022-05-02 14:57:21 (UTC+09:00)
[7] What is the last executed time of Eraser application (Eraser.exe) ?
ERASER.EXE의 last run time을 확인해보면 다음과 같이 나온다.
이 중 가장 최근에 실행된 시각은 2022-05-02 14:54:56 (UTC+09:00)이다.
답) 2022-05-02 14:54:56 (UTC+09:00)
[8] What is the name of the file that was first deleted (wiped) by Eraser application (Eraser.exe) ?
NTFS Log Tracker로 \Users\student\Pictures 경로에 있는 로그 파일을 확인해보면 다음과 같이 이름이 여러 번 바뀌었다가 최종적으로 파일이 삭제된 것을 알 수 있다.
이 중 가장 처음 삭제 된 것은 personal-account.xls이다.
답) personal-account.xls
[Bonus] Understand Jump List Items stored in Your Windows System.
[B-1] Collect Jump List files stored in your own Windows system.
gkape를 이용하여 로컬 window system에 있는 jump list 파일들을 추출한다.
[B-2] Examine the collected Jump List files with a forensic tool. Explain how a particular application utilizes Jump List items in terms of differences between ‘AutomaticDestinations’ and ‘CustomDestinations’.
Application ID가 fb3b0dbfee58fac8인 Microsoft Word 2016 64-bit 프로그램은 jump list file이 automatic destinations에도 있고, custom destinations에도 있다.
automatic destination 폴더에 있는 jump list item에서는 수정된 시간과 같은 정보 등을 알 수 있다.
[B-3] Are there Jump List files categorized as ‘Unknown AppId’ ? If so, identify appropriate application names relating to them.
Application ID가 e59da7437b967b07인 것을 보면, Unknown AppId라고 한다. 이것을 확인해보면 Naver의 Whale.exe 프로그램임을 알 수 있다.