X-Ways Forensics

실무 활용 매뉴얼

Timeline 분석 [ by 김종광 ]

Timeline 분석
윈도우 10의 작업보기 항목을 분석합니다. (응용프로그램 실행내역 비 실행 파일 실행내역)

Timeline 분석
C:\Users\%profile%\AppData\Local\ConnectedDevicesPlatform\L.%UserName%\ActivitiesCache.db 경로로 이동합니다.

Timeline 분석
ActivitiesCache.db 파일의 효율적인 분석을 위해서는 SQL DB Viewer를 활용할 수 있습니다.

  • 1. ActivitiesCache.db 파일 선택.

  • 2. 마우스 우클릭

  • 3. Viewer Programs -> selected other Program… 모듈 실행

Timeline 분석
연동하고자 하는 응용프로그램이 없으면 [ 이 PC에서 다른 앱 찾기 ]를 클릭합니다.

Timeline 분석
DB Browser for SQL 프로그램을 연결합니다. (기타 Viewer 연동 가능)

Timeline 분석
DB Browser for SQL을 통하여 ActivitiesCache.db 파일을 정상적으로 불러올 수 있습니다

Timeline 분석
시간 별로 실행된 응용프로그램 / 문서 / 그림파일 등 정보를 볼 수 있습니다.

Timeline 분석
LastModified Time 컬럼의 시간 값이 바로 확인이 어렵기 때문에 표시 형식을 변경합니다.

Timeline 분석
[ 표시형식을 유닉스 시간(타임스탬프)을 날짜로 ] 옵션으로 선택합니다.

Timeline 분석
LastModified Time 시간보기 형식이 변경된 것을 확인할 수 있습니다.

Timeline 분석
Expiration Time 컬럼의 보기형식도 위와 같이 변경한 후 필요한 정보가 있는 컬럼을 확인합니다.
시간 별로 실행한 문서와, 응용프로그램의 리스트를 확인할 수 있습니다.