윈도우 포렌식 두번째입니다.

 

오늘은 레지스트리,인터넷접속, 윈도우파일분석등을 알아봅니다.

레지스트리란 “운영체제 내에서 작동하는 모든 하드웨어,소프트웨어,사용자 정보 및 시스템 구성 요소등을 담고 있는 데이터 베이스”를 말하며 다음과 같은 5개의 상위키를 가진다

 

HKEY_CLASSES_ROOT

- 파일 확장자에 대한 정보, 각 파일과 프로그램간의 연결에 대한 정보, 마우스 오른쪽 단추의 등록정보등..

HKEY_CURRENT_ROOT

- 현재의 로그인중인 사용자들에 대한 등록정보, 응용 프로그램의 우선순위, 보안접근 허용 여부

HKEY_LOCAL_MACHINE

- H/W 구성 초기화 파일, 제어판과 밀접, 사용중 H/W , S/W에 대한 정보

 HKLM/Software/CLASSES : HKEY_CLASSES_ROOT의 키값과 동일한 값 가짐, 두곳이 연동되어 생성이나 삭제가 같이 이뤄짐

HKEY_USERS

- 이전 사용자 초기화 파일 보관, 두키 사이가 겹치면 HKEY_CURRENT_USER가 우선

HKEY_CURRENT_CONFIG

- 현재의 사용중인 윈도의 디스플레이 정보 와 프린터 관련정보

HKEY_DYN_DATA

- wind95,98,me까지 존재

 

윈도우 레지스트리분석

-         최근 열었거나, 실행,수정한 문서에 대한 사용흔적

MRU (most Recently Used)

- 가장 최근 사용된 파일 프로그램에 대한정보 목록을 말하며 일부정보가 레지스트리에 기록

HKCU\Software\Microsoft\windows\currentVersion\exploer\ComDlg32\OpenSaveMRU

- 최근 Open 되거나 Save된 파일 목록

HKCU\Software\Microsoft\windows\currentVersion\exploer\ComDlg32\LastVisitedMRU

- OpenSaveMRU 에 새로운 항목이 추가되면 이 키에 새로운 값이 생성되거나 수정

HKCU\Software\Microsoft\windows\currentVersion\exploer\ComDlg32\RecentDocs

- windows explorer를 통해서 최근 Open된 파일 목록 기록

HKCU\Software\Microsoft\windows\currentVersion\exploer\ComDlg32\RunMRU

- 시작->실행 선택해 실행된 명력 목록 유지. 가장 최근 추가된 명령어 항목이 가장 최근

사용된 명령어 의미하지 않음

 

HKCU\Software\Microsoft\windows\CurrentVersion\exploere\UserAssist

- 사용자가 접근한(실행한) 프로그램, Shortcut, control panel applet등 기록

 

HKLM\SYSTEM\ControlSet00x\Enum|USBSTOR

- USB 장치 정보 저장

 

그외 몇가지 더 있으나 필요하시면 좀 찾아 보시면 될듯합니다..

왠만하면 pc에 기록이 다 남으니 허튼짓은 안하시는게..^^;

 

그외 이제 인터넷 접속기록 부분은 History정보와 Cache 정보 Cookie 정보등을 살펴 보아야한다.

History 경우 간혹 ID와 Password 관련정보 있을수 있고cache 경우 삭제파일들을 복구하여 검색하며, Cookie 경우 사용자정보,세션정보가 저장관리되므로, 유용하게 사용된다.

 

마지막으로 윈도우 파일분석입니다.

작업에 따른 파일의 MAC시간 변경

파일생성 : 수정한날짜, 만든날짜,접근날짜 모두 일치

파일이름변경 : 접근날짜

파일내용수정 : 수정날짜,접근날짜,

파일복사 : 만든날짜, 접근날짜

파일이동 : 접근날짜

파일다운로드 : 만든날짜, 수정날짜, 접근날짜 변경

메신저에 의한 파일생성 : 만든날짜, 수정한날짜, 접근날자 변경

파일압축해제 : 만든날짜, 접근날짜 변경

 

파일의 MAC 수집

 

dir /t:a /s /o:d c:\ -> C드라이브에서 각각의 모든 파일, 디렉토리에 대한 접근 시간

dir /t:w /s /o:d d:\ -> D드라이브에서 각각의 모든 파일, 디렉토리에 대한 기록한 시간

dir /t:c /s /o:d e:\ -> E드리이브에서 각각의 모든 파일, 디렉토리에 대한 작성 시간

 

휴지통 파일에서 INFO2파일의 경우 windows 2K/xp.에서 800bytes 크기 가집니다.

 

이상으로 윈도우 포렌식을 또 마칩니다..

다음에는 머할까요..리눅스 포렌식쪽으로 해보겠슴다...

 

Posted by ^________________^
,