포렌식 아티팩트 레퍼런스
실무 DFIR 관점에서 정리한 디지털 포렌식 아티팩트 카탈로그. 무엇이고, 어디에 있고, 수사에 어떻게 쓰이는지 한 곳에 모았습니다.
총 35종 아티팩트 — 검증된 항목부터 계속 업데이트됩니다.
Windows
13 종Shell Bags (셸백)
Windows 탐색기가 폴더 방문 시 뷰 설정을 UsrClass.dat에 저장합니다. 폴더가 삭제되었거나 연결 해제된 외장 드라이브의 경로라도 접근 흔적이 남습니다.
Amcache.hve
Windows 8부터 도입된 호환성 데이터베이스로, 실행된 모든 PE 파일의 SHA-1 해시, 전체 경로, 서명자, 최초 실행 시점을 기록합니다.
UserAssist (사용자 실행 기록)
HKCU에 저장되는 사용자별 프로그램 실행 기록. 경로가 ROT13 인코딩되어 있으며 포커스 횟수와 마지막 실행 시각을 포함해 대화형 실행을 증명합니다.
MUICache
프로그램의 표시명(FriendlyAppName)이 최초 실행 시 HKCU에 기록됩니다. 엔트리 존재 자체가 실행 증거입니다.
Prefetch 파일
Windows Prefetch는 실행 파일의 마지막 실행 시각 8회, 로드된 DLL 목록, 볼륨 정보까지 기록합니다. Windows 포렌식 타임라인의 핵심 자료입니다.
Shimcache (AppCompatCache)
애플리케이션 호환성 캐시로 최대 1024개의 실행 기록을 전체 경로와 마지막 수정 시각과 함께 저장합니다. 파일 삭제 후에도 흔적이 남습니다.
BAM / DAM (백그라운드 활동)
백그라운드/데스크톱 활동 조절기(BAM/DAM)는 각 사용자 SID별로 실행된 바이너리의 마지막 실행 시각을 기록합니다.
TypedURLs (직접 입력 URL)
Internet Explorer / Edge Legacy가 주소창에 직접 입력된 URL을 최대 25개까지 HKCU에 저장합니다. 일반 방문 기록보다 의도성이 명확한 증거입니다.
RecentDocs (최근 문서)
Explorer가 확장자별 최근 열어본 파일을 HKCU에 저장합니다. 이미 제거된 USB/네트워크 드라이브의 파일도 포함됩니다.
AppCompatFlags
Windows가 실행 파일별로 호환성 플래그를 저장하는 레지스트리. 악성코드가 실행 동작을 조작하는 데 악용할 수도 있습니다.
WiFi 프로필 (레지스트리)
Windows는 연결했던 모든 SSID를 접속 시각, AP MAC 주소와 함께 HKLM 아래에 저장합니다. 디바이스 위치 추적의 유력한 근거입니다.
Windows Bluetooth 페어링
Windows는 페어링된 Bluetooth 장치를 HKLM의 BTHPORT 키에 MAC·이름 포함하여 저장하며, 페어링 해제 후에도 정보가 남습니다.
USB 연결 기록
Windows는 연결된 모든 USB 대용량 저장장치를 제조사·모델·시리얼 번호와 최초·최종 연결 시각까지 기록합니다.
macOS
6 종KnowledgeC.db
CoreDuet가 운영하는 DB로 앱 포커스, 잠금/해제, USB 연결, 배터리, 블루투스 페어링, Siri 이벤트 등 macOS/iOS 사용자 행동 타임라인을 저장합니다.
TCC DB (개인정보 보호 설정)
앱별로 카메라/마이크/연락처/사진/화면 녹화/디스크 전체 접근 권한을 허용한 이력을 기록하는 SQLite DB입니다.
FSEvents (파일시스템 이벤트)
볼륨별 파일시스템 변경 이벤트 저널. 파일 생성·삭제·이름변경·소유권 변경을 모두 기록해 Windows의 USN 저널 역할을 합니다.
macOS Quarantine Events (격리 기록)
격리 API를 사용하는 앱(Safari, Chrome, 메일, AirDrop)이 다운로드한 파일의 출처 URL과 User-Agent까지 기록하는 SQLite 로그입니다.
macOS 통합 로그 (Unified Log)
Apple의 통합 로깅 프레임워크로 시스템·보안·앱 이벤트를 .tracev3 파일에 구조화 저장합니다. 약 30일의 보존 기간을 가집니다.
macOS Bluetooth plist
시스템 Bluetooth 구성 plist에 페어링된 장치의 MAC 주소, 표시명, 장치 타입, 마지막 연결 시각이 기록됩니다.
iOS
4 종iOS 문자/iMessage (sms.db)
iOS는 SMS·MMS·iMessage 대화를 단일 SQLite DB에 저장하며 타임스탬프, 수신 확인, 첨부파일, 답장 스레드 정보를 포함합니다.
iOS 통화 기록
CallHistory.storedata는 셀룰러·VoIP·FaceTime 및 제3자 앱(WhatsApp, KakaoTalk) 통화를 방향·시간·상대방 정보와 함께 기록합니다.
iOS Safari 방문 기록
Safari History.db는 방문 시각, URL, 제목, 방문 횟수, 리퍼러를 기록하며 tabs.db와 결합 시 모바일 브라우징 세션을 복원할 수 있습니다.
KakaoTalk iOS
한국 주력 메신저. iOS 클라이언트는 채팅방·메시지·연락처·첨부 메타데이터를 앱 샌드박스 내 SQLite DB에 저장합니다.
Android
4 종Android SMS (mmssms.db)
Android 텔레포니 공급자가 SMS·MMS를 단일 SQLite DB에 저장합니다. 앱 재설치 후에도 복구 가능한 경우가 많습니다.
Android 통화 기록
contacts2.db는 수·발신·부재중·거부된 통화를 상대방, 시간, 통화 타입, SIM 슬롯과 함께 기록합니다. 음성메시지도 포함됩니다.
Android WiFi 연결 기록
WifiConfigStore.xml 및 netpolicy.xml는 연결했던 모든 네트워크의 SSID·BSSID(MAC)·암호화 방식을 기록해 위치 추정이 가능합니다.
KakaoTalk Android
한국 주력 메신저의 Android 클라이언트. 채팅방·친구·멀티미디어 썸네일·메시지 원장을 앱 데이터 폴더의 SQLite DB에 저장합니다.
크로스플랫폼
3 종Linux
5 종Bash 셸 히스토리
사용자가 Bash에서 실행한 모든 대화형 명령이 ~/.bash_history에 기록됩니다. HISTTIMEFORMAT·PROMPT_COMMAND 설정에 따라 실시간 저장 및 시각 정보까지 보존됩니다.
Linux Syslog (시스템 로그)
rsyslog 또는 syslog-ng가 작성하는 텍스트 시스템 이벤트 로그로, 커널 메시지·데몬 출력·cron 실행·인증 이벤트(구형 배포판)를 기록합니다. journald-only 환경이 아닌 Debian/Ubuntu·RHEL/CentOS에서 표준 형식입니다.
systemd 저널 (journald)
systemd-journald가 작성하는 이진 구조화 인덱스 로그 저장소입니다. 커널 링 버퍼, dmesg, 모든 systemd 유닛(서비스) 출력과 항목별 UID·GID·PID·실행 명령·SELinux 컨텍스트가 인증된 메타데이터로 함께 저장됩니다.
Linux 인증 로그 (auth.log)
PAM 기반 서비스가 남기는 인증·권한 이벤트 로그로, sshd 로그인·sudo·su 시도·화면 잠금 해제·polkit 결정이 기록됩니다. Linux 침해 사고 분석의 첫 번째 확인 대상입니다.
Linux Cron 스케줄러 흔적
시스템 및 사용자별 crontab, drop-in 디렉토리(/etc/cron.*)와 cron·anacron이 남기는 실행 로그를 모두 포함합니다. Linux 서버의 지속성(Persistence) 탐지에 핵심적인 아티팩트입니다.