728x90
Windows Artifacts
- Windows가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소
- Windows의 사용자가 수행하는 활동에 대한 정보를 보유하고 있는 개체
- 생성증거 : 프로세스, 시스템에서 자동으로 생성한 데이터 ≫ windows artifacts에 해당함
- 보관증거 : 사람이 기록하여 작성한 데이터
{ 종류 }
- 레지스트리
- $MFT, $Logfile, $UsnJrnl
- LNK
- JumpList
- Recycle Bin
- Prefetch & Cache(s)
- Timeline
- VSS
- 웹브라우저 아티팩트
- EventLogs
Windows Artifacts 공부 시, 가장 중요한 점
- 사용자의 행위에 따라 어디에 어떤 정보가 저장될까?
- 컴퓨터는 대체 어떻게 동작하는 걸까? ≫ 사용자는 컴퓨터로 무슨일을 했을까?
Registry는?
- 윈도우 운영체제와 응용 프로그램 운영에 필요한 정보를 담고 있는 계층형 데이터베이스 즉, 윈도우에 필요한 모든 정보를 담고 있음
- 운영체제 및 응용 프로그램의 설정 정보, 서비스의 중요 데이터 등 기록
- 부팅 과정부터 로그인, 서비스 실행, 응용프로그램 실행, 사용자 행위 등 모든 활동에 관여
- 프로세스 검색 : reader_sl.exe(1640)가 수상한 프로세스로 의심됨 ≫ 윈도우 시스템 분석의 필수 요소
{ Registry에 있는 정보 }
- 시스템 표준 시간 (TimeZone)
- 시스템 정보 (Systeminfo)
- 사용자 계정 정보
- 환경 변수 정보
- 자동 실행 프로그램
- 응용 프로그램 실행 흔적 (UserAssist, OpenSavePidMRU, LastvisitedPidMRU)
- USB 연결 흔적
- 접근한 폴더 정보 (Shellbag)
Registry 사용 도구
- 레지스트리 조회 : regedit (레지스트리 편집기) 이용
- 레지스트리 조회 및 편집 가능
- 레지스트리 구조
{ 루트 키 종류 }
- HKEY_CLASSES_ROOT(HKCR) : 파일 확장자 연결 정보, COM 객체 등록 정보
- HKEY_CURRENT_USER(HKCU) : 현재 시스템에 로그인된 사용자의 프로파일 정보
- HKEY_LOCAL_MACHINE(HKLM) : 시스템의 하드웨어, 소프트웨어 설정 및 기타 환경 정보
- HKEY_USER(HKU) : 시스템의 모든 사용자와 그룹에 관한 프로파일 정보
- HKEY_CURRENT_CONFIG(HKCC) : 시스템이 시작할 때 사용되는 하드웨어 프로파일 정보
Registry - Timezone
- 경로 : HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation
- Bias를 통해 현재 컴퓨터의 timezone을 알 수 있음.
- 현재 컴퓨터의 설정은 UTC+9
Registry - Systeminfo
- 경로 : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
- 현재 윈도우 버전, 설치시간, ProductId 등 시스템과 관련된 정보들
* 윈도우 터미널에서 systeminfo를 입력하여 나온 결과와 같음
Registry - Autoruns
- 자동실행 프로그램을 레지스트리를 통해 알 수 있음
- 경로
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Registry - User Account
- 경로 : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\
- S-1-5-18 : systemprofile
- S-1-5-19 : LocalService
- S-1-5-20 : NetworkService
- S-1-5-21 : 사용자가 만든 계정
* 1000 이상은 user 권한, 500은 administrator
Registry - Environment Variables
- 시스템/사용자 환경변수 확인
- 경로
- 사용자 환경변수 : HKU\{SID값}\Environment
* SID 값은 HKEY_USERS의 사용자 계정을 나타내는 SID 값을 들어가고 Environment 누르고, Path 값의 데이터
- 시스템 환경변수 : HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment
Registry - Executable
- 응용 프로그램(exe) 실행에 따른 흔적
- 레지스트리
- UserAssist: 최근에 실행한 프로그램 목록, 마지막 실행 시간, 실행 횟수
- OpenSavePidIMRU: 열기 혹은 저장 기능으로 사용된 파일
- LastVisitedPidIMRU: 열기 혹은 저장 기능을 사용한 응용 프로그램
Registry - USB Connection
- USB 등 외부 저장매체 연결 흔적을 추적 가능 : USB 제품명, 시리얼 번호, 최초 연결 시각, 마지막 연결 시각
- 경로
- 모든 USB: HKLM\SYSTEM\ControlSet001\Enum\USB
- USB 저장장치: HKLM\SYSTEM\ControlSet001\Enum\USB\USBSTOR
- 마운트 디바이스: HKLM\SYSTEM\MountedDevices
Registry - Shellbags
- 사용자가 접근한 폴더 정보를 기록함 _ 삭제된 폴더의 정보도 확인할 수 있음
- BagMRU: 폴더의 구조를 계층적 구조로 나타냄
- Bag: 윈도우 사이즈, 위치 등 사용자의 환경설정을 저장
- 경로
- HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags
- HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
- HKCU\Software\Microsoft\Windows\Shell\Bags
- HKCU\Software\Microsoft\Windows\Shell\BagMRU
[참고자료] 인프런_'기초부터 따라하는 디지털포렌식' 강의
728x90
'Security > Digital Forensic' 카테고리의 다른 글
디지털 증거 (0) | 2023.03.28 |
---|---|
[CTF-d/Mutimedia] '저는 플래그를 이 파일에..' (0) | 2023.03.26 |
Chapter 02. 침해사고 대응기법(3)_OlympicDestroyer (0) | 2022.11.19 |
Chapter 02. 침해사고 대응기법(2)_Volatility (0) | 2022.11.19 |
Chapter 02. 침해사고 대응기법(1) (0) | 2022.11.07 |