X-Ways Forensics

실무 활용 매뉴얼

SRUM 분석 [ by 김종광 ]

SRUM 분석
응용프로그램 실행 흔적을 추적하기 위해 SRUM 항목을 분석합니다.

SRUM 분석
C:\Windows\System32\Config\SOFTWARE 경로로 이동합니다.

SRUM 분석
Registry 경로를 직접 찾아가기 위해 View 모듈을 실행합니다.

  • 1. SYSTEM 파일 선택

  • 2. 마우스 우클릭

  • 3. View 모듈 실행

SRUM 분석
SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SRUM\Extensions 위치로 이동합니다.

SRUM 분석
Local Settings\Software\Microsoft\Windows\Shell\MUICache 경로로 이동합니다.

  • 1. ESE Database Table Name

ESE Database Table Name 구조

키 이름(Key Name) 설명
{DD6636C4-8929-4683-974E-22C046A43763} Network Connectivity data
{D10CA2FE-6FCF-4F6D-848E-B2E99266FA89} Application Resource usage data
{973F5D5C-1D90-4944-BE8E-24B94231A174} Network usage data
{D10CA2FE-6FCF-4F6D-848E-B2E99266FA86} Windows Push Notification data
{FEE4E14F-02A9-4550-B5CE-5FA2DA202E37} LT Energy usage data

SRUM 분석
C:\Windows\System32\sru\SRUDB.dat 위치로 이동합니다.

SRUM 분석
SRUDB.dat 파일의 내부를 확인하기 위해 View 모듈을 실행합니다.

  • 1. SRUDB.dat 파일 선택

  • 2. 마우스 우클릭

  • 3. View 모듈 실행

SRUM 분석
응용프로그램의 사용 리소스를 모니터링한 결과를 볼 수 있습니다.

  • 1. 응용프로그램의 실행 시간

  • 2. 응용프로그램 실행 위치

  • 3. 응용프로그램 실행 사용자 정보