Windows 사용자 행위 분석 (Prefetch, Timeline, ShellBag)
1. Prefetch 파일 분석 (.pf)
-
정의: Windows에서 자주 사용되는 프로그램의 실행 정보를 미리 저장해 두어 **실행 속도를 개선**하는 데 사용되는 파일입니다.
-
분석 정보: 프로그램의 **최초 실행 시간, 최근 실행 시간, 실행 횟수** 등을 확인하여 용의자가 사용한 프로그램을 파악합니다.
2. Windows Timeline 분석
-
정의: Windows 10의 CDP 서비스 일부로, 사용자의 최근 활동 내역(최대 30일)을 기록합니다.
-
분석 파일: `%UserProfile%\...\ActivitiesCache.db` 파일 내의 **Activity Table**을 통해 실행 파일명, URL, **Start/End Time** 등을 분석합니다.
3. ShellBag 분석
-
정의: 사용자가 탐색기에서 열었던 폴더의 크기, 위치 등 디스플레이 정보를 레지스트리에 저장한 것입니다.
-
분석 정보: 폴더가 **삭제되거나 외장 드라이브**였더라도 해당 폴더에 **접근했던 흔적**을 기록합니다.