Windows Timeline

• windows에서 지원하는 timeline 기능
  • 사용자가 실행하고 있는 응용프로그램
  • 사용자가 과거에 실행했던 응용프로그램
  • 최대 30일의 사용자 행위를 보관
• windows + tab 버튼

​

• 설정 활성화
  • '이 장치에 내 활동 기록 저장' 설정
• timeline 데이터 저장 경로
  • 유저 계정에 따라 경로가 달라짐
    • 로컬 계정: L.{로컬 계정명}
    • 마이크로소프트 계정: {마이크로소프트 식별자(CID)}
    • Office365 & AAD 계정 : AAD.{보안 식별자(SID)}
• %UserProfile%\AppData\Local\ConnectedDevicesPlatform\{계정명}\ActivitiesCache.db

​

• ActivitesCache.db 구조
  • Activity : 응용프로그램 실행 기록, 실행 시간 등 보통의 timeline 데이터
  • ActivityOperation : 생성 혹은 삭제 이벤트에 대한 timeline 데이터
  • Activity_Packageld : 앱별 패키지 이름

​

• windows 10에서 2018년부터 추가된 기능
  • windows 11부터 지원 중단
  • 그러나 동일한 경로에 데이터가 생성됨을 확인
  • '활동 기록' 메뉴 역시 그대로 존재

​

• 포렌식적 의미
  • 시간에 따른 사용자 행위 추적
  • 응용프로그램의 구체적인 사용 시각을 알 수 있음

​

• 저장 경로 확인
  • 계정명 확인
  • %UserProfile%\AppData\Local\ConnectedDevicesPlatform\{계정명}\ActivitiesCache.db

​

• DB brower for SQLite 활용

​

​

먼저 경로로 이동해보면,

이렇게 내 계정이 세개 있는 것을 확인할 수 있다.

​

그 중 나는 L.주예지의 캐시파일을 선택하여 DB에 던져보았다.

​

그럼 Payload에 내가 실행했던 파일에 대한 정보가 나와있는 것을 알 수 있다.

​

또한 Activity ID를 통해 Activity_Packageld 테이블을 오가며 추적하여 정보를 식별할 수도 있다.

ActivityOperation에서는 생성 시각, 응용프로그램의 시작과 끝나는 시간 등의 정보를 확인할 수 있다.

​