기초부터 따라하는 디지털포렌식 | 학습 페이지 (inflearn.com)
_Windows Artifacts
Windows Artifacts// Windows가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소
Window의 사용자가 수행하는 활동에 대한 정보를 보유하고 있는 객체
| 생성증거 | 프로세스,시스템에서 자동으로 생성한 데이터(ex:Windows Artifacts) |
| 보관증거 | 사람이 기록하여 작성한 데이터 (ex:텍스트파일) |
Windows Artifacts 공부할 때 중요한 점
-> 사용자의 행위에 따라 어디에 어떤 정보가 저장될까?
->컴퓨터는 대체 어떻게 동작하는걸까?
= 사용자는 컴퓨터로 무슨 일을 했을까?
_Registry
Windows Artifacts중에 가장양이많고 복잡함
윈도우 운영체제와 응용프로그램 운영에 필요한 정보를 담고있는 계층형 데이터베이스
-운영체제 및 응용프로그램의 설정 정보,서비스의 중요데이터 등 기록
-부팅과정부터 로그인, 서비스실행, 응용프로그램 실행, 사용자 행위 등 모든 활동에 관여
윈도우 시스템의 모든 정보가 담겨있음
-윈도우 시스템 분석의 필수 요소
시스템 표준시간, 시스템 정보, 사용자 계정 정보, 환경 변수 정보, 자동 실행 프로그램, 응용프로그램 실행 흔적,
USB연결 흔적, 접근한 폴더 정보 ... 이외에도 더 많이 있음
레지스트리 조회
-레지스트리 편집기라고 불리는 regedit 이용(기본적으로 내장되어있음)
regedit // 레지스트리 조회 및 편집 가능
[레지스트리구조 및 설]
CURRENT_USER,LOCAL_MACHINE 이 두 가지가 일반적으로 많이 쓰임!!
Registry-Timezone // 시스템 표준시간을 나타냄
-경로: HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation
-Bias를 통해 현재 컴퓨터의 Timezone 을 알 수 있음
Registry-Systeminfo
-경로: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
-현재 윈도우 버전,설치 시간,Productld 등 시스템과 관련된 정보
Registry-Autoruns
-자동실행 프로그램을 레지스트를 통해 알 수 있음
경로
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
• HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
• HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Registry - User Account
-경로: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\
S-1-5-18 : systemprofile
S-1-5-19 : LocalService
S-1-5-20 : NetworkService
S-1-5-21 : 사용자가 만든 계정
1000 이상은 user 권한
500은 administrator
사용자의 최종 로그인 시간
LocalProfileLoadTimeHigh
= 0x01d84236
LocalProfileLoadTimeLow
= 0x5f0dff92
→ 0x01d842365f0dff92
Registry - Environment Variables
시스템/사용자 환경변수 확인
경로:HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment
사용자 환경변수
HKU\{SID}\Environment
Registry - Executable
응용프로그램(exe)실행에 따른 흔적
UserAssist: 최근에 실행한 프로그램 목록, 마지막 실행 시간, 실행 횟수
OpenSavePidIMRU: 열기 혹은 저장 기능으로 사용된 파일
LastVisitedPidIMRU: 열기 혹은 저장 기능을 사용한 응용 프로그램
UserAssist: 최근에 실행한 프로그램 목록, 마지막 실행 시간, 실행 횟수
경로: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count: 실행파일 실행 기록
{F4E57C4B-2036-45F0-A9AB-443BCFE33D9F}\Count: 바로가기 실행 기록
OpenSavePidIMRU: 열기 혹은 저장 기능으로 사용된 파일
경로: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU
LastVisitedPidIMRU: 열기 혹은 저장 기능을 사용한 응용 프로그램
경로: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU
Registry - USB Connection
USB 등 외부 저장매체 연결 흔적을 추적 가능
• USB 제품명, 시리얼 번호, 최초 연결 시각, 마지막 연결 시각
경로
-> 모든 USB: HKLM\SYSTEM\ControlSet001\Enum\USB
->USB 저장장치: HKLM\SYSTEM\ControlSet001\Enum\USB\USBSTOR
->마운트 디바이스: HKLM\SYSTEM\MountedDevices
시스템에 연결되었던 모든 USB 장치의 정보가 기록됨
경로: HKLM\SYSTEM\ControlSet001\Enum\USB
VID와 PID를 검색하면, USB 종류를 알 수 있음
시스템에 연결되었던 모든 USB 저장장치의 정보가 기록됨
경로: HKLM\SYSTEM\ControlSet001\Enum\USBSTOR
VID와 PID를 검색하면, USB 종류를 알 수 있음
시스템에 마운트되었던 장치의 리스트를 나타냄
경로: HKLM\SYSTEM\MountedDevices
Registry - Shellbags
사용자가 접근한 폴더 정보를 기록함
BagMRU: 폴더의 구조를 계층적 구조로 나타냄
Bag: 윈도우 사이즈, 위치 등 사용자의 환경설정을 저장
경로
• HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags
• HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
• HKCU\Software\Microsoft\Windows\Shell\Bags
• HKCU\Software\Microsoft\Windows\Shell\BagMRU
사용자가 접근한 폴더 정보를 기록함
• 삭제된 폴더의 정보도 찾을 수 있음
_Registry Practice
레지스트리 파일 추출
FTK Imager 이용
[root]\Windows\Users\{USERNAME}\NTUSER.DAT
[root]\Windows\System32\config\DEFAULT
[root]\Windows\System32\config\SAM
[root]\Windows\System32\config\SECURITY
[root]\Windows\System32\config\SOFTWARE
[root]\Windows\System32\config\SYSTEM
반드시 LOG1,LOG2 파일을 포함해서 추출!!
분석 도구 다운로드
-REGA: http://forensic.korea.ac.kr/tools.html
-RLA: https://ericzimmerman.github.io/#!index.md
-Regripper: https://github.com/keydet89/RegRipper3.0
실습이 속전속결이여서 살짝 버거웠다 .. 그치만 아 이런과정을 통해 raw폴더에 파일들이 들어가고 이런 것들은 신기했다
능숙하게 하기 위해선 이 강의 말고도 다른 강의들이 필요하다고 느꼈고 ,,, 종강하고 여름방학을 불태워야겠다 .....
'소학회 > 인프런_강의정리' 카테고리의 다른 글
| 7주차 개인과제 (0) | 2023.05.23 |
|---|---|
| 6주차 개인과제 (0) | 2023.05.16 |
| 4주차_강의정리 및 퀴즈 (0) | 2023.05.02 |
| 2주차_개인과제 및 ppt발표본 (0) | 2023.04.04 |
| 1주차_개인과제 (0) | 2023.03.28 |