포렌식 툴

MDwiki

 

✅ 전체 분류 개요

범주설명대표 도구

사용자 활동 분석	사용자 행위 흔적 (폴더 열람, 실행 이력 등)	ShellBagsExplorer, UserAssist, JumpListExplorer
프로그램 실행 흔적	실행된 프로그램의 증거 수집	AppCompatCacheParser, Prefetch Parser, UserAssist
시간 기반 분석	이벤트를 시간순으로 정리	TimelineExplorer, MFTECmd
레지스트리 분석	Windows 레지스트리 항목 분석	RECmd, RegistryExplorer
파일 시스템 분석	MFT, 파일 삭제 이력 등	MFTECmd, $LogFile Parser, UsnJrnl2Csv
로그 분석	이벤트 로그, SRUM 등	EvtxECmd, SRUMECmd
브라우저/인터넷 흔적	브라우저 기록 등	BrowsingHistoryView, LECmd
자동화 / 통합	분석 자동화	KAPE, Kroll

 

---

🔍 주요 도구 상세 설명

📁 1. AppCompatCacheParser

• ShimCache (Application Compatibility Cache) 분석
• 사용자가 실행했던 프로그램의 흔적 확인 (심지어 삭제된 파일도 일부 추적 가능)
• 매우 유용한 프로세스 실행 흔적 포렌식 도구

---

📁 2. Prefetch Parser (PECmd)

• Windows의 .pf 파일(Prefetch) 분석
• 어떤 실행파일이 언제 몇 번 실행됐는지 확인 가능
• 경로, 실행 시간, 관련 DLL 추적

---

🧭 3. ShellBagsExplorer

• Windows Explorer에서 어떤 폴더를 열었는지 추적
• 날짜/시간, 보기모드, 창 크기 등 포함
• 사용자의 폴더 열람 행위를 재구성할 수 있음

---

🧠 4. UserAssist

• 레지스트리에 ROT13으로 인코딩된 GUI 프로그램 실행 정보 분석
• Windows 탐색기에서 더블클릭 등으로 실행된 앱 추적 가능

---

🧾 5. JumpListExplorer

• 작업표시줄/시작메뉴 "최근 사용 항목" 분석
• .automaticDestinations-ms 파일 분석

---

🧱 6. MFTECmd

• MFT (Master File Table) 분석
• 파일 생성/수정/삭제 등 모든 파일의 시간 정보 추적
• NTFS 기반 분석의 핵심 도구

---

📜 7. EvtxECmd

• *.evtx 형식의 Windows 이벤트 로그 분석
• 보안 로그 (예: Event ID 4688), 시스템/응용 로그까지 가능

---

🔗 8. LECmd (LNK 파일 분석기)

• 단축 아이콘 파일 (.lnk)의 메타데이터 분석
• USB 사용 이력, 파일 접근 경로 확인 가능

---

⏱️ 9. TimelineExplorer

• 위 도구들이 생성한 csv 출력들을 시간순 타임라인으로 통합 시각화
• 분석 시간대별 흐름 보기

---

🧰 10. KAPE

• Zimmerman 도구들을 통합한 자동화 수집/분석 플랫폼
• 예를 들어 "실행 흔적", "로그", "레지스트리" 등을 자동 수집하고 각 분석기 도구로 자동 실행
• 실제 포렌식 실무에서 많이 사용됨

---

✅ 어떤 걸 먼저 써봐야 할까?

목적도구 추천

실행 기록 확인	AppCompatCacheParser, PECmd, UserAssist
폴더/파일 접근 이력	ShellBagsExplorer, LECmd
이벤트 로그 확인	EvtxECmd
타임라인 분석	TimelineExplorer
모든 분석 자동화	KAPE

 

---

🎯 시작 팁

초보자에게는 다음 3가지를 먼저 추천합니다:

1. PECmd: Prefetch로 실행된 프로그램 분석
2. UserAssist: 레지스트리에서 GUI 실행기록 분석
3. EvtxECmd: 보안 이벤트 로그 분석 (Event ID 4688 등)

그리고 분석한 csv 파일은 TimelineExplorer로 시간 흐름대로 정리해보면 실전 감각이 붙습니다.