윈도우 분석 도구

이미지 분석

1. FTK Imager
시스템을 이미징 하거나, 이미징 된 이미징 파일을 로드하거나, 로드 된 이미징(장치)로 부터 파일 분석 및 추출이 가능
2 .analyzeMFT
NFTS 파일 시스템의 $MFT파일을 분석. 위의 FTK Imager로 export한 $MFT를 분석
3. NTFS Log Tracker
NTFS 파일 시스템의 $LogFile 파일을 분석
4. WinPrefetchView
사용자가 시스템을 사용하면서 자주 사용한 응용 프로그램에 대한 저보를 담고 있는 Prefetch 파일 정보를 분석하여 출력
5. Everything
검색 도구, 정규식 표현을 이용하여 시스템에서 특정 날짜에 수정된 파일이나 생성된 파일을 검색하거나 특정 확장자의 파일을 검색
6. ShadowExplorerPortable
시스템에 생성된 복원지점을 확인 및 탐색하는 도구
7. VSC_Toolset
시스템에 생성된 VSC를 분석하여 이전 VSC와 현재 시스템의 VCS를 비교하여 수정된 사항을 분석 비교해주는 도구

 

레지스트리 수집과 분석

1. REGA
시스템에서 레지스트리를 수집하고 수집한 레지스트리에 저장된 정보를 분석
2. LastActivityView
접근하거나 실행된 파일에 대한 로그를 확인
3. JumpListsView
레지스트리 OpenSavePid, LastVisitPid, Recentdocs 정보에 기반하여 정보 분석
4. LinkParser
레지스트리 Recentdocs정보에 기반하여 lnk 파일 정보를 분석
5. UserAssistView
레지스트리 UserAssist를 기반으로 사용자가 실행한 파일이나, 바로가기를 통해 실행된 정보를 파싱하여 분석
6. USBDeview
시스템에 연결된 저장 매체 흔적을 분석

 

기타 분석

1. BrowsingHistoryView
시스템에 설치된 웹 브라우저의 로그를 파싱 하여 분석
2. Strings
파일에 저장된 문자열을 추출해주는 도구
3. OTL
시스템의 정보를 분석하여 변경된 사항에 대한 정보를 보고서 형태로 지원하는 도구
4. MagnetRAMCapture
현재 시스템의 메모리를 덤프
5. Volatility
오픈소스 메모리 분석 도구, 칼리리눅스에 기본적으로 설치