4. 사이버포렌식

레지스트리 분석

1. 레지스트리란?

둔영체제에서 동작하는 환경설정 정보들을 저장하는 데이터베이스

HKEY_CLASSES_ROOT를 비롯하여 5개의 상위키(=루트키)를 가짐

각 루트키 아래의 하위키부터 그 아래의 모든 하위키를 포함하는 트리구조를 하이브라고한다.

폴더를 키라고 지칭

1.1 HKEY_CLASSES_ROOT

확장자에 대한 매핑정보

1.2 HKEY_LOCAL_MACHINE

시스템에 영향을 미치는 환경정보, 로그온 한 사용자와 관계없이 컴퓨터에 등록된 모든 사용자에게 동일하게 적용된다.

HKLM/Software/CLASSES : HKEY_CLASSES_ROOT의 키 값과 연동

1.3  HKEY_USERS

현재 동작하는 모든 사용자

긴건 일반사용자

짧은건 시스템 사용자

1.4 HKEY_CURRENT_USER

현재 사용중인 사용자에 관련한 환경설정 정보

HKEY_USERS에서 SOFTLINK가 걸림

2. 레지스트리 분석

- 실행, 수정, 연 흔적

- 불법계정 생성 유무확인

- 특정 프로그램 설치여부 확인

- 자동시작 프로그램 기록

- URL 기록, 실행창 명령어 기록

- 네트워크 연결목록

- 컴퓨터 정보(OS VERSION, SP)

3. MRU(Most Recently Used)

가장 최근에 사용된 파일이나 프로그램에 대한 목록, 레지스트리에 기록된다.

4. AutoRun Location

시스템이 시작할 때 자동으로 시작되는 프로그램

★HKLM/.../RUN - 모든사용자에 대해 자동실행되는 프로그램

★HKCU/.../RUN - 해당사용자에 대해 자동실행되는 프로그램

5. USB 레지스트리 분석

- 볼륨 정보(C:, D:)

- 제조사, 제품명, 버전

- 식별자

- 사용자 식별

- 최초연결 시점 (레지스트리에 저장도지 않고 log 파일에 저장된다.)

- 마지막 연결 시점

Windows File Artifacts 분석

컴퓨터가 자동생성한 파일을 분석하는 것이 아티팩트 분석의 뜻이다.

1. 일반 파일 및 폴더

MAC TIME

Modified Time - 파일이 수정된 시간

Accessed Time - 파일이 읽혀진 시간

Created Time - 파일이 생성된 시간

- 작업에 따른 파일의 MAC 시간 변경

[생성 시]

MAC 모두 일치

[이름 변경 시]

A만 변경

[내용 수정 시]

MA 변경

[이동 시]

A만 변경

★[복사 시]

CA 변경

[압축해제 시]

MAC가 모두 일치되었다가 

압축파일에 M을 보관했다가 M을 나중에 바꾸게 된다.

2. NTFS, FAT의 MAC 차이

FAT는 Access Time이 존재하지 않는다.

3. History 파일

- URL 목록

- Cache 파일

- Cookie 파일

index.dat에 데이터베이스형태로 저장

어디에 접속했는지

4. 임시인터넷 파일

방문한 사이트에 대한 웹 페이지, 이미지, Script, 업데이트되지 않은 웹 페이지 내용 확인 가능

( 임시 인터넷 파일을 이용해 새로 업로드된 인터넷파일과 비교해 볼 수 있다. )

5. Prefetch

프로그램 실행 시간 단축을 위해 생성

최근에 어떤 프로그램을 사용했는지 알 수 있음

6. Jump List

프로그램별로 어떤 대상 프로그램을 봤는가 알 수 있다.

APP 삭제시에도 남아있다.