X-Ways Forensics

실무 활용 매뉴얼

ShellBags 분석 [ by 김종광 ]

Shellbag 분석
Shellbag 데이터 분석을 위해 C:\User\[UserName]\NTUSER.DAT 파일을 선택합니다.

Shellbag 분석
Hive 파일 분석을 위해 View 옵션을 이용해 Registry viewer를 실행합니다.

Shellbag 분석
NTUSER.DAT 파일의 내부 구조는 아래와 같습니다.

Shellbag 분석
NTUSER.DAT\Software\Microsoft\Windows\Shell 경로로 이동합니다.

BagMRU / Bags ?

  • - Shell 폴더 하위 폴더인 BagMRU와 Bags 2개의 폴더가 Shellbags에 대한 정보를 담고 있습니다.

Shellbag 분석
해당 시스템에서 실행된 폴더의 기록을 확인하여 0번으로 디렉토리가 추가된 리스트 기록을 볼 수 있습니다.

Shellbag 분석
각 하위 폴더를 선택하면 실행된 폴더의 정보를 볼 수 있습니다.

  • 2. 0번 폴더의 정보가 저장되어 있습니다.

  • 3. 0번 폴더의 정보를 디코딩하여 확인 가능합니다.

Shellbag 분석
동일 디렉토리에서 서로 다른 2개의 폴더를 실행한 경우도 분석이 가능합니다.

  • 1. 0번 디렉토리 하위에 0번과 1번 디렉토리가 생성된것을 확인할 수 있습니다.

  • 2. 0번과 1번의 파일을 클릭하면 실행된 볼더의 이름을 확인할 수 있습니다.