컴퓨터 사용 흔적은 유틸리티로 확인 할 수 있다
강의 목차 7
1. 유틸리티의 개념
프로그램이라 부르는 것은 아래 2가지로 구분된다.
유틸리티: 시스템에 초점을 맞춘 프로그램 ( 화면보호기, 압축프로그램, 디스크 정리, 백신프로그램 )
( 컴퓨터가 없으면 불필요한 소프트웨어 = 유틸리티 )
어플리케이션(응용 프로그램) : 사용자에게 초점을 맞춘 프로그램 ( 게임, 문서 편집 등 )
컴퓨터의 사용 흔적을 찾는 유틸리티가 있다.
NirSoft utilities 로 잘 알려져 있는 유용한 몇몇 유틸리티 체험을 해본다.
이러한 유틸리티를 사용하면 내 컴퓨터에서 어떤 프로그램들이 실행되었는지, 컴퓨터가 언제 부팅되고 종료되었는지, 웹 브라우저로 어떤 사이트에 접속했었는지, USB 가 언제 연결되고 종료되었는지 등의 다양한 기록을 확인할 수 있다.
2. WSCC 설치
Nirsoft utilities, Sysinternals suite 를 사용하기 위해 WSCC(Windows System Control Center)를 설치.
WSCC 는 유틸리티들을 한 곳에 모아 관리할 수 있게 해주는 소프트웨어.
일종의 여러 은행 어플을 통합해서 한 곳에서 관리할 수 있는 어플리케이션이라고 생각하면 될거같다.
( 기존에 컴퓨터에 있는 각각의 프로그램들을 WSCC 라는 프로그램에서 한 곳에 모아서 관리 )
www.kls-soft.com/wscc/downloads.php
위 url 에서 다운로드 ( Portable 다운로드 )
Setup 과 Portable 차이
Setup: 퍼포먼스 ( 성능 ) 을 생각
Portable : 컴퓨터 깔끔하게 사용 , 가볍다 ?
64bit-portable 설치
wscc 폴더 생성 후 다운받은 zip 파일 압출풀고, wscc.exe 실행
기본 설정 → 전체 파일 Install ( 대략 300개 )→ 실행
3. WSCC 사용하여 각 소프트웨어 검색하여 흔적확인
1. LastActivityView: 실행했던 소프트웨어 로그 확인
컴퓨터 내 다양한 데이터를 바탕으로 소프트웨어 실행 로그들을 리스트로 보여주는 유틸리티.
수개월 전의 기록도 조회할 수 있지만, 과거로 갈수록 생략되는 기록들이 많아짐.
ex) 21시에 게임을 실행했다고 나오지만, 하루 전 기록을 보면 분명히 게임을 했는데 게임을 실행했다는 기록이 없다.
비슷한 류의 다른 유틸리티: RecentFileView, MUICacheView, UserAssistView, WinPrefetchView, ExecutedProgramsList
RecentFileView: 과거 기록을 더 보유하고 있지만, 자료 자체는 부족
MUICacheView: 캐시 (자주 사용하는 자료를 빨리 로드하기 위해 사용) 에 저장되어 있는 자료
각각 유틸리티는 Modified Time 으로 시간을 확인
각각의 유틸리티는 약간의 차이가 있으므로,
전체적인 유틸리티를 참고하여 크로스체크하는 것이 좋다.
유틸리티는 서로 다른 곳을 참조하여 기록을 보여주기 때문에 여러 개를 동시에 활용 시 정확도가 높아진다.
2. BrowsingHistoryView: 접속했던 웹 사이트 로그 확인
IE, Chrome, Firefox, opera 등 다양한 웹 브라우저들로부터 접속 로그를 확보하여 리스트로 보여주는 유틸리티.
기간 설정이 가능하다.
URL, Title, Visit Time, Visit Count, Visited From, Visit Type, Visit Duration, Web Browser, User Profile, Browser Profile, Hitory File 등을 사용해서 여러 항목을 통해 로그 정보들을 확인할 수 있다.
해당 프로그램을 켜놓고 인터넷에 들어가서 정보를 확인하고 F5를 눌러 새로고침하면 방문했던 웹사이트의 로그들이 새로 업로드된다.
URL: 방문 URL
Title: HTML Title ( 브라우저의 제목 표시줄, 페이지의 탭의 제목 )
Visit Time: 방문시간
Visit Count: 방문횟수
Visited From: 어느 URL 을 통해 방문했는지 ( referer)
Visit Type: 방문 방식 ( Link, Typed URL, Auto Bookmark 등등 )
Visit Duration: 머문 시간
Web Browser: 사용한 웹 브라우저 ( 크롬, IE, 파이어폭스, 엣지 등)
User Profile: 컴퓨터 사용자 ( 로그인된 사용자 )
Brower Profile: 브라우저 사용자 ( 등록된 사용자만 저장됨, 시크릿모드 or 게스트 모드 저장 X )
Hitory File: 히스토리 파일 저장 위치
3. ChromeCacheView: 웹 페이지 접근 시 임시 저장된 자료 확인.
크롬 브라우저의 캐시 데이터를 리스트로 보여주는 유틸리티.
캐시는 자주 들어가는 웹 페이지 로드를 빠르게 하기 위해 컴퓨터에 저장되는 임시 데이터이며, 일반적으로 웹 브라우저 히스토리 데이터보다 보관기간이 짧다.
본 프로그램에서는 방문한 사이트의 내용을 확인할수 있다.
좌측 상단의 지구모양 (Open Link in Web Browser ) 를 클릭
파이어폭스: MozilaCacheView
인터넷 익스플로러(IE) : IECacheView
4. FullEventLogView: 모든 이벤트 로그 확인
윈도우 운영체제의 모든 이벤트 로그들을 모아서 보여주는 유틸리티.
본 유틸리티 사용 시 한번에 모아서 이벤트 로그들을 보여준다.
자세하게 기록되어 있는 로그.
대표적으로 확인할 수 있는 것은 로그인 로그아웃 기록.
어떤 계정이 언제 윈도우에 로그온 했는지 알수 있고, 시간대를 보면 컴퓨터를 언제 켜고 껏는지 알 수 있다.
그 외에도 특정 서비스 실행 및 프로그램 실행간 오류 발생 등 윈도우의 전반적인 상황을 확인할 수 있는 클래식 로그.
5. USBDeview: USB 포트 연결/해제 로그 확인.
과거 어떤 USB 포트에 어떤 장치가 연결되었는지에 대한 로그를 확인.
여기서 말하는 USB 장치는 USB 메모리뿐만 아니라 USB형 마우스, 외장형 DVD 드라이브, 마이크, 스마트 폰 등 케이블이 USB 형태를 가진 모든 장치를 의미.
Registry Time 1: 최근 연결 시간
Registry Time 2: 최초 연결 시간
장치의 최초 연결과 최종 연결 시간만 확인할 수 있고, 그 사이에 몇번의 연결과 해제가 있었는지 알 수 없다.
Uninstall Selected Devices 를 클릭하면 해당 로그를 삭제 할 수 있다.
해당 디바이스를 더블 클릭하게 되면 정보가 나오는데,
Serial Number 또는 Instance ID 로 해당 디바이스를 구분할 수 있다.
'보안 > 취미로 해킹 2' 카테고리의 다른 글
| 취미로 해킹 2 - 기밀문서 찾기 (0) | 2023.03.06 |
|---|---|
| 취미로 해킹 2 - OSINT 도구 알아보기 (1) | 2023.03.03 |
| 취미로 해킹 2 - 압축 파일 비밀번호 풀기 (0) | 2023.02.28 |
| 취미로 해킹 2 - Tor 브라우저 체험하기 (0) | 2023.02.22 |
| 취미로 해킹 2 - 암호화 하여 파일 숨기기 (0) | 2023.02.20 |
