오늘은 새로 발견된 포렌식 아티팩트를 살펴볼까 한다. 아직 연구중인 분야라고 하니 간단하게 살펴보고 넘어가도록 하자. EventTranscript.db란 Windows 운영체제에서 발생하는 이벤트에 대해 많은 진단 관련 정보를 실시간으로 기록하는 것으로 보이는 SQLite 데이터베이스라고 한다. 이 데이터베이스는 기본적으로 활성화가 되어있지 않기 때문에 '진단 데이터 보기'에서 활성화를 시켜줄 수 있다. 또한 사용자가 스스로 데이터베이스의 크기와 범위를 지정할 수 있다. 위와 같이 설정 후 '진단 데이터 보기'를 활성화하면 EventTranscript.db 파일이 다음 위치에 생성되는 것도 확인해볼 수 있다. 위치 : C:\ProgramData\Microsoft\Diagnosis\EventTranscri..