(120513) #fitalk windows 8 forensics

FORENSIC INSIGHT SEMINAR

Windows 8 Forensics

dorumugs

http://malware.co.kr

And yet it does move

forensicinsight.org / 83

개요

1. Windows 8 User Interface

2. Windows 8 Artifacts

3. Windows 8 Registry

4. Windows 8 ETC


Windows 8 Users Interface


Windows 8 User Interface

로그인하는 방법은 3가지가 있다.

• 일반적인 ID / PW 입력 방식

• 그림을 그려서 로그인 하는 방식

• PIN 사인을 통해 로그인 하는 방식



잠금 페이지 – 캘린더, 페이스북 등 알림을 보여준다.



시작 메뉴

• Maps, Internet explorer 10, Weather, People Messaging 등이 설치되어 있다.

• 프로그램들은 Windows Store를 통해 설치되거나 삭제된다.



시작 메뉴 – Charms

• Search, Share, Start, Devices, Settings로 바로 이동할 수 있게 도와준다.



PC Settings

• Consumer Preview 버전에서는 일부 설정에만 접근할 수 있다.

• Refresh your PC without affecting your files

사용자의 파일들과 개별적으로 설정된 내역은 변경되지 않는다

PC의 설정은 초기 설정으로 돌아간다.

Windows Store로 부터 설치된 App들은 유지된다.

Windows Store가 아닌 다른 방법으로 설치된 내역은 삭제된다.

삭제된 App 목록은 Desktop에 저장된다.

• Reset your PC and start over

사용자의 파일들과 APP들 모두 삭제된다.

사용자의 PC는 최초의 설정으로 돌아간다.



PC Settings



TaskManager



Windows Store

• Windows Store를 통해서 애플리케이션을 설치 또는 삭제 할 수 있다.

• Windows Store를 통하지 않아도 애플리케이션을 설치 또는 삭제 할 수 있다.



Messaging

• Windows Live 계정을 통해서 대화를 할 수 있다.

• Gtalk, Facebook 등을 연동하여 사용이 가능하다.



Weather

• 날씨를 알려주는 애플리케이션이다.

• 장소를 GPS로 인식하여 동작한다.



BSD(Blue Screen of Death)

• 이모티콘, 어려운 용어 제거 등을 사용하여 사용자 친화적으로 변경



Windows Desktop

• 시작 버튼이 없다. (Developer Preview에는 시작 버튼이 존재한다.)

• 마우스를 왼쪽 하단으로 움직이면, Metro Start를 만날 수 있다.



Windows Desktop

• Metro Start에서 위쪽으로 마우스를 이동하며, 현재 동작 중인 App을 확인할 수 있다.



Windows Explorer

• Explorer는 요즘 MS가 사용하는 Tab방식으로 변했다.

• 외형은 MS Office와 유사하다.


Windows 8 Artifacts - Local Folder

- Metro Apps

- IE10 Websites Visited

- Journal Notes

- Desktop Tools

- Metro App Web Cache

- Metro App Cookie

- Cache

- Cookies

- Microsoft Folder

- Digital Certificates

- What’s New

- User’s Contacts

- App Settings


Windows 8 Artifacts

“AppData/Local” 폴더는 시스템이나 애플리케이션이 사용한다.

XP에서는 "Documents and Settings\%UserName%\Local Settings\Application Data“ 폴더에서 “AppData/Local”기능을 수행했다.

“AppData/Local” 폴더는 Temporary Internet Files, Internet History 그리고 Windows 8이 남기는 다양한 파일들을 담고 있다.

Local Folder


Windows 8 Artifacts

Local Folder

애플리케이션 경로 목적

Metro Apps Microsoft\Windows\Application\Shortcuts

Metro Interface에서 보여지는 App들을 확인

IE 10 Web Visited %SystemRoot%\Users\%User%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV24.dat

IE 10을 사용하여 웹사이트에 방문했던 내역 확인

IE 10 Web Session

Microsoft\InternetExplorer\Recovery\Immersive\Active and Microsoft\InternetExplorer\Recovery\Immersive\LastActive

IE 10을 사용하여 웹사이트에 방문했던 내역 및 브라우져 복구 시 사용되는 경로

Taskbar Apps Microsoft\Windows\Caches Desktop에 고정된 App들을 확인

Journal Notes Microsoft\Journal\Cache\msnb.dat 사용자가 생성한 Journal Notes의

History와 경로 저장

User-Added IE 10 Favorites Microsoft\Windows\RoamingTiles 사용자가 고정시킨 웹사이트 즐겨

찾기 내역

“%SystemRoot%\Users\%user%\AppData\Local\”


Windows 8 Artifacts

Local Folder


Temporary Internet Files Microsoft\Windows\Temporary Internet Files\Low\Content.IE5

인터넷 임지 저장 파일들을 저장

Protected Mode Temporary Internet Files

Microsoft\Windows\Temporary Internet Files\Virtualized\%Local Disk%\Users\%user%\Appdata

IE가 Protected Mode로 동작할 때, 인터넷 임시저장 파일들을 저장

Desktop Microsoft\Window\WinX Device Manager, Command

Prompt, Run과 같은 링크 파일들을 저장

Windows Sidebar Weather App

Microsoft\Windows\Windows Sidebar\Cache\168522d5-1082-4df2-b2f6-9185c31f9472

XML파일로 위치 주소 등을 저장

Metro App Web Cache Packages\%MetroAppName%\AC\INetCache

Metro App들이 사용하는 Web Cache를 저장

Metro App Cookies Packages\%MetroAppName%\AC\InetCookies

Text로 Metro App이 사용하는 Cookie 파일들을 저장

Metro App Web History Packages\%MetroAppName%\AC\INetHistory

Metro App이 사용하는 Web History를 저장

Metro Settings Packages\%MetroAppName%\AC\LocalState

Metro App이 사용하는 설정들을 Plain Text로 저장


Windows 8 Artifacts

Metro Apps

• Metro Interface에서 확인할 수 있는 App들에 대한 링크 파일들을 확인할 수 있다.

Local Folder


Windows 8 Artifacts

IE 10 Websites Visited

• %SystemRoot%\Users\Kayser\AppData\Local\Microsoft\Windows\WebCache\WebCac

heV24.dat

Local Folder


Windows 8 Artifacts

IE 10 Web Session

• Compound DAT 파일을 Unpack하면 TL(Travel Log)들을 확인 가능

Local Folder


Windows 8 Artifacts

Journal Notes

• DAT파일이 Journal Notes의 경로를 Plain Text로 저장

Local Folder


Windows 8 Artifacts

Journal Notes

Local Folder


Windows 8 Artifacts

IE 10 Pinned Favorites

• 파일명은 10개의 정수로 표현되며, 즐겨찾기 내역을 Plain Text로 보여준다.

Local Folder


Windows 8 Artifacts

Desktop Tools

• 과거의 Start Menu의 Accessories and System Tools와 비슷하다.

• Taskbar에서 우클릭하여 접근 가능

• 3가지 그룹으로 나뉘며, 그룹으로 나뉘어진 애플리케이션은 각각의 링크파일를 가진다.

그룹 1 Desktop

그룹 2 Run comand, Search, Windows Explorer, Control Panel, Task Manager

그룹 3 Run as Administrator Command Prompt, Command Prompt, Computer Managemnet,

Disk Management, device Manager, System, Event Viewer, Power Options, Nerwork

Connections, Programs and Features

Local Folder


Windows 8 Artifacts

Desktop Tools

Local Folder


Windows 8 Artifacts

Metro App Web Cache

• App을 통해 Web으로 접근한 Cache 내역을 저장

Local Folder


Windows 8 Artifacts

Metro App Cookies

• App이 사용한 Cookie들을 저장하고 있으며, 현재 Cookie와 거의 다르지 않다.

Local Folder


Windows 8 Artifacts

Communications App


Communication App Web Cache

%SystemRoot%\Users\%User%\AppData\Local\Packages\Microsoft.windowscommunicationsapps_8wekyb3d8bbwe\AC\INetCache

Facebook 사용자 프로파일 사진 및 Facebook에서 확인한 사진 확인 가능

사용자 행위와 관련하여 포렌식적으로 유용한 정보를 제공한다.

시스템에서 흔적을 제거하였을 때, 사용자 행위를 확인할 수 있다.

Email, Chat, Facebook, 그 외 소셜 사이트 정보를 저장하고 있다.

Web Cache

• Web Cache에서 Facebook에서 확인한 사진들을 확인할 수 있다.

Web Cookies

• Cookie들 중 일부 파일은 Facebook offline에서 전달되지 않은 메시지 등을 저장한다.


Communication App Cookies

%SystemRoot%\Users\%User%\AppData\Local\Packages\Microsoft.windowscommunicationsapps_8wekyb3d8bbwe\AC\INetCookies

Communication App에서 사용한 Cookie들이 저장되어 있다.


Windows 8 Artifacts

Communications App

Web Cache


Windows 8 Artifacts

Communications App

Digital Certificate

• Digital Certificate은 인터넷 서핑, Email 등 을 사용할 때, Client와 Server를 인증하기 위해 사

용된다.

• 개인키(Private Key) / 공개키(Public Key)를 사용하여 Encrypt / Decrypt 한다.

• Digital Certificate이 저장하고 있는 정보

소유자의 공개키 / 소유자의 이름과 / 주소

인증 만료 날짜 / 인증 시리얼 넘버 /인증을 발간한 조직

인증을 발간한 조직의 디지털 시그너처


Communication App Digital Certificates

%SystemRoot%\Users\%User%\AppData\Local\Packages\Microsoft.windowscommunicationsapps_8wekyb3d8bbwe\AC\Microsoft\CryptnetURLCache\Content

Communication App이 사용하는 인증들을 담고 있다.


Windows 8 Artifacts

Communications App

Digital Certificate


Windows 8 Artifacts

Communications App

What’s New

• Email 주소, 물리 주소(실제 집), 핸드폰 번호 등을 담고 있다.

• Facebook, Email, Twitter 등과 같은 개인 정보를 담고 있는 데이터를 포함한다.


User’s “What’s New” Updates

%SystemRoot%\Users\%User%\AppData\Local\Packages\Microsoft.windowscommunicationsapps_8wekyb3d8bbwe\AC\Microsoft\Internet Explorer\DOMStore\%History-Folder%\microsoft[#].xml

Email 주소, 물리 주소(실제 집), 핸드폰 번호 등 개인 정보를 포함하고 있는 데이터를 포함한다.


Windows 8 Artifacts

Communications App

What’s New


Windows 8 Artifacts

Communications App

Email

• Email 주소, 물리 주소(실제 집), 핸드폰 번호 등을 담고 있다.

• Email 마다 Stream을 저장하고 있다. Stream을 저장하는 파일 명은 아래와 같다.

12000001~9/a-f_##################.eml.OECustomProperty

• Email 파일명은 “12000001~9/a-f_##################.eml“와 같다.

예를 들어 Email이 1200012f_129755557158031487.eml이면, Stream은

1200012f_129755557158031487.eml.OECustomProperty이다.


User’s “What’s New” Updates

%SystemRoot%\Users\%User%\AppData\Local\Packages\Microsoft.windowscommunicationsapps_8wekyb3d8bbwe\LocalState\Indexed\LiveComm\[email protected]\16.2\Mail

Email 주소, 물리 주소(실제 집), 핸드폰 번호 등 개인 정보를 포함하고 있는 데이터를 포함한다.


Windows 8 Artifacts

Communications App

Email - Stream


Windows 8 Artifacts

Communications App

Email


Windows 8 Artifacts

Communications App

User’s Contact

• Communication App을 사용하여 소셜 미디어에 접근할 경우, 사용자 및 친구들에 대한 사진을

획득할 수 있다.


User’s Contacts from Communications App

%SystemRoot%\Users\%User%\AppData\Local\Packages\Microsoft.windowscommunicationsapps_8wekyb3d8bbwe\\LocalState\LiveComm\%User'sWindowsLiveEmail Address%\%AppCurretVersion%\DBStore\LogFiles\edb####.log

사용자 및 친구들의 사진이 저장된 경로를 알려준다.

User Tile Associated With Contact

%SystemRoot%\Users\%User%\AppData\Local\Packages\Microsoft.windowscommunicationsapps_8wekyb3d8bbwe\\LocalState\LiveComm\%User'sWindowsLiveEmail Address%\%AppCurretVersion%\DBStore\UserTiles

사용자 및 친구들의 사진이 저장되어 있다.


Windows 8 Artifacts

Communications App

User’s Contact


Windows 8 Artifacts

Communications App

App Setting

• Communications App에 대한 설정 정보를 Compound 파일인 setting.dat에 저장하고 있다.

• Setting.dat는 Windows Live 계정, 캘린더, 채팅, Email, People 등의 정보를 담고 있다.


Communications App Settings

%SystemRoot%\Users\%User%\AppData\Local\Packages\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Settings\setting.dat

Communication App이 설정 내용을 담고 있다.


Windows 8 Artifacts

Communications App

App Setting


Windows 8 Registry

- NTUSER.DAT

- SAM

- SYSTEM

- USB STORAGE DEVICES

- SOFTWARE


Windows 8 Registry

특정 사용자에 대한 정보를 기록한다.

시스템에 여러 사용자가 존재할 경우, NTUSER.DAT도 여러 개 존재하게 된다.

사용자가 열였던 파일, 사용한 애플리케이션, 방문했던 웹사이트 등을 기록한다.

“%SystemRoot%\Users\%User%\NTUSER.DAT” 경로에 존재

NTUSER.DAT

정보 경로

Recent Docs Windows\CurrentVerson\Explorer\Recent Docs

Recently Opened/Saved Files

Windows\CurrentVerson\Explorer\ComDlg32\OpenSavePidlMRU

Recently Opened/Saved Folders

Windows\CurrentVerson\Explorer\ComDlg32\LastVisitedPidlMRU

Last Visited Folder Windows\CurrentVerson\Explorer\ComDlg32\LastVisitedPidlMRULegacy

Recently Used Apps (Nun-Metro Apps)

Windows\CurrentVerson\Explorer\ComDlg32\CIDSizeMRU


Windows 8 Registry

NTUSER.DAT

정보 경로

Recently Used Apps with Saved Files

Windows\CurrentVerson\Explorer\ComDlg32\FirstFolder

Recently Run Items Windows\CurrentVerson\Explorer\Policies\RunMRU

Computer Name & Volume S/N

WindowsMedia\WMSDK\General

File Extension Associations

Windows\CurrentVersion\Explorer\FileExts

Typed URLs Internet Explorer\TypedURLs

Typed URL Time Internet Explorer\TypedURLsTime


Windows 8 Registry

Typed URL Time

• Software\Microsoft\Internet Explorer\TypedURLsTime\

1601년 1월 1일 GMT 00:00:00 이후의 시간을 100나노세컨트드로 계산하여 바이너리 저장

(Windows FILETIME)

• Software\Microsoft\Internet Explorer\TypedURLs\

URL들을 확인할 수 있으며, 시간 정보는 TypedURLsTime에서 확인 가능

NTUSER.DAT


Windows 8 Registry

Typed URL Time

• Software\Microsoft\Internet Explorer\TypedURLs\

NTUSER.DAT


Windows 8 Registry

Typed URL Time

• Software\Microsoft\Internet Explorer\TypedURLsTime\

NTUSER.DAT


Windows 8 Registry

사용자 계정에 대한 정보를 담고 있다. (어느 도메인 / 어떤 경로)

SAM에 저장된 사용자 이름은 로그인할 때 사용되거나 RID(Rdlative Identifier)로 사용된다.

“%SystemRoot%\Windows\System32\Config\SAM 경로에 존재한다.

SAM

정보 경로

Last Logon Domains\Account\Users\%UserNumber%\F

Last Password Change Domains\Account\Users\%UserNumber%\F

Account Expireation Domains\Account\Users\%UserNumber%\F

Last Failed Logon Domains\Account\Users\%UserNumber%\F

User’s RID Domains\Account\Users\%UserNumber%\F

Internet User Name Domains\Account\Users\%UserNumber%\InternetUserName

User’s First Name Domains\Account\Users\%UserNumber%\GivenName

User’s Last Name Domains\Account\Users\%UserNumber%\Surname

User’s Tile Domains\Account\Users\%UserNumber%\UserTile


Windows 8 Registry

User name

• Last Name : Domains\Account\Users\%UserNumber%\GivenName

• First Name : Domains\Account\Users\%UserNumber%\Surname

SAM


Windows 8 Registry

F

• Last Logon

0x8-15의 8byte값 / SAM\Domains\Account\Users\%UserNumber%\F

• Last Password Change


• Account Expiration


설정이 되어있지 않으면, 시간정보가 확인이 안되며, FF FF FF FF 로 표현된다.

• Last Failed Logon


• User's RID(Relative Identifier)


SAM


Windows 8 Registry

SAM

F


Windows 8 Registry

SAM

Uesr’s Tile


Windows 8 Registry

Device에 할당된 Drive Letter, 컴퓨터 이름, 타임존, 시스템에서 사용한 USB 등 과 같은 정보를 담고 있으며, Control Set은 시스템 부팅과 관련된 설정을 담고 있다.

%SystemRoot%\Windows\System32\config\System

SYSTEM

정보 경로

Current Control Set Select\Current

Last Known Good Control set Select\LastKnownGood

Mounted Devices MountedDevices

Files Excluded from Restore %CurrentControlSet%\Control\BackupRestore

Computer name %CurrentControlSet%\Control\ComputerName

TimeZone %CurrentControlSet%\Control\TimeZoneInformation\TimeZoneKeyName

Last Graceful Shutdown time %CurrentControlSet%Control\Windows\ShutdownTime

Printers %CurrentControlSet%\Enum\SWM\PRINTENUM

Sensors & Location Devices %CurrentControlSet%\Enum\SWM\SensorsAndLocationEnum\HardWareID

USB Storage Devices %CurrentControlSet%\Enum\USBSTOR


Windows 8 Registry

Current Control Set / Current : 01은 현재 ControlSet001이라고는 것을 알려준다.

SYSTEM


Windows 8 Registry

LastKnownGood : 마지막에 성공적으로 부팅한 Control Set 번호

SYSTEM


Windows 8 Registry

Mounted Devices : Device Letter를 저장 / Letter당 하나의 장비만 저장

SYSTEM


Windows 8 Registry

Mounted Devices : Device Letter를 저장

SYSTEM


Windows 8 Registry

Last GraceFul Shudown Time : 마지막 정상 종료 시간(Windows FILETIME)

SYSTEM


Windows 8 Registry

Sensor and Location Devices

• Windows 7부터 사용, Internet을 통하여 받아 올 수 있는 기능(예 : GPS)을 사용하게 설정

SYSTEM


Windows 8 Registry

USBSTOR는 USB의 이름, Vendor ID, Product ID, Revision Number, Serial Number를 확인 가능

• SYSTEM\CurrentControlSet\Enum\USBSTOR

FriendlyName은 USB이름을 확인 가능

• SYSTEM\%CurrentControlSet%\Enum\USBSTOR\Disk&Ven_General&Prod_USB_Flash_Disk

&Rev_1100\%Unique Instance ID%&0\FriendlyName

USB의 이름에서 Unique Instance ID와 Container ID를 확인 가능

• SYSTEM\CurrentControlSet\Enum\USBSTOR\%USB Name%\%Unique Instance

ID%\ContainID

USB STORAGE DEVICES


Windows 8 Registry

DeviceContainers에서 Container ID에 따른 GUID, VID, PID 확인 가능

• System\CurrentControlSet\Control\DeviceContainers\%ContainerID%\BaseContainers

• System\CurrentControlSet\Control\DeviceContainers\%ContainerID%\Properties

USB의 VID와 PID를 통해, USB가 Plugin된 시간 확인 가능

• SYSTEM\%CurrentControlSet%\Enum\USB\%VID/PID%\Unique Instance

ID%\Properties\{83da6326-97a6-4088-9453-a1923f573b29}\0064\0000

LocationInformation을 통해서 USB Hub와 Port를 확인 가능

• SYSTEM\%CurrentControlSet%\Enum\USB\%VID/PID%\Unique Instance

ID%\LocationInformation

USB STORAGE DEVICES


Windows 8 Registry

USBSTOR

USB STORAGE DEVICES


Windows 8 Registry

FriendlyName

USB STORAGE DEVICES


Windows 8 Registry

Unique Instance ID / Container ID

USB STORAGE DEVICES


Windows 8 Registry

GUID / VID / PID

USB STORAGE DEVICES


Windows 8 Registry

USB Plugin Time(Windows FILETIME)

USB STORAGE DEVICES


Windows 8 Registry

Hub / Port

USB STORAGE DEVICES


Windows 8 Registry

OS에 대한 정보. Version, Installed Time, Registerd Owner, Last User to Logon, Members of a Group 등을 기록하고 있다.

%SystemRoot%\Windows\System32\config\SOFTWARE

SOFTWARE

정보 경로

Current OS Build Microsoft\Windows NT\CurrentVersion\CurrentBuild

Current OS Version Microsoft\Windows NT\CurrentVersion\CurrentVersion

OS Edition Microsoft\Windows NT\CurrentVersion\EditionID

OS Install Date Microsoft\Windows NT\CurrentVersion\InstallDate

OS Install Location Microsoft\Windows NT\CurrentVersion\PathName

OS Product Name Microsoft\Windows NT\CurrentVersion\ProductName

Register Organization Microsoft\Windows NT\CurrentVersion\Registered

Registered Owner Microsoft\Windows NT\CurrentVersion\RegisteredOwner

Metro Apps Installed on System

Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications


Windows 8 Registry

SOFTWARE

정보 경로

User Account Installed Metro Apps

Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\%SID%

Last Logged On User Microsoft\Windows\CurrentVersion\Authentication\LogonUI\LastLoggedOnUser

Last Logged SAM USER

Microsoft\Windows\CurrentVersion\Authentication\LogonUI\LastLoggedOnSAMUser

Last Logged On SID User

Microsoft\Windows\CurrentVersion\Authentication\LogonUI\LastLoggedOnSIDUser

Group Members Microsoft\Windows\CurrentVersion\HomeGroup\HME

File/Folder Sharing (by SID)

Microsoft\Windows\CurrentVersion\HomeGroup\HME\SharingPreferences\%SID%

Applications That Run At Starup

Microsoft\Windows\CurrentVersion\Run


Windows 8 ETC

- EVENT LOG

- Prefetch

- $Recycle.Bin


Windows 8 ETC

Windows 7 / windos 2008과 같은 EVTX 내부구조를 사용한다.

%SystemRoot%\Windows\System32\winevt\Logs\System.evtx

EVENT LOG


Windows 8 ETC

EVENT LOG


Windows 8 ETC

기본 설정의 Windows 8은 Prefetch 파일을 가지고 있지 않다.

설정 정보

• %SystemRoot%\Windows\System32\config\SYSTEM\ControlSet001\Control\Session

Manager\Memory Management\PrefetchParameters\EnablePrefetcher

Windows 7과 같은 경로를 가지고 있지만, EnablePrefetcher 값은 존재하지 않는다.

EnablePrefetcher값을 생성하여, 부팅하여도 Prefetch는 생성되지 않는다.

Prefetch 경로

• %SystemRoot%\Windows\Prefetch\

Prefetch


Windows 8 ETC

Prefetch


Windows 8 ETC

%SystemRoot%\$Recycle.Bin\%USER SID%\

$Recycle.Bin


결론

Windows 8은 Windows Live ID를 사용하여 접근하는 정보가 다양하다.

• Windows Logon, Email, Messagine, ETC

Communication App으로 인한, 개인정보 보호 미약

• 사용자의 시스템이 침해 당할 경우, 사용자의 개정정보 뿐만 아니라 Calendar, Email Address,

Email Contents 등에 등록되어 있는 사람들에 대한 정보도 같이 유출될 수 있다.

인터넷 히스토리 내역을 저장하고 있는 파일이 변경되었다.

• 기존의 Index,dat가 WebCacheV24.dat로 변경되었다.

Prefech 생성

• Prefetch 생성 파라미터를 변경하여도, Prefech는 생성되지 않는다.


참고

다운로드

• http://windows.microsoft.com/en-US/windows-

8/download?ocid=W_MSC_W8P_DevCenter_MetroApps_EN-US

참고

• http://grandstreamdreams.blogspot.com/2012/04/windows-8-linkage-passage-public-

metro.html

• http://propellerheadforensics.files.wordpress.com/2012/04/thomson_windows-8-forensic-

guide.pdf

http://windows.microsoft.com/en-US/windows-8/download?ocid=W_MSC_W8P_DevCenter_MetroApps_EN-US







http://grandstreamdreams.blogspot.com/2012/04/windows-8-linkage-passage-public-metro.html











http://propellerheadforensics.files.wordpress.com/2012/04/thomson_windows-8-forensic-guide.pdf








질문 & 답변

(120513) #fitalk windows 8 forensics

Technology