레지스트리 분석
1. 레지스트리란?
둔영체제에서 동작하는 환경설정 정보들을 저장하는 데이터베이스
HKEY_CLASSES_ROOT를 비롯하여 5개의 상위키(=루트키)를 가짐
각 루트키 아래의 하위키부터 그 아래의 모든 하위키를 포함하는 트리구조를 하이브라고한다.
폴더를 키라고 지칭
1.1 HKEY_CLASSES_ROOT
확장자에 대한 매핑정보
1.2 HKEY_LOCAL_MACHINE
시스템에 영향을 미치는 환경정보, 로그온 한 사용자와 관계없이 컴퓨터에 등록된 모든 사용자에게 동일하게 적용된다.
HKLM/Software/CLASSES : HKEY_CLASSES_ROOT의 키 값과 연동
1.3 HKEY_USERS
현재 동작하는 모든 사용자
긴건 일반사용자
짧은건 시스템 사용자
1.4 HKEY_CURRENT_USER
현재 사용중인 사용자에 관련한 환경설정 정보
HKEY_USERS에서 SOFTLINK가 걸림
2. 레지스트리 분석
- 실행, 수정, 연 흔적
- 불법계정 생성 유무확인
- 특정 프로그램 설치여부 확인
- 자동시작 프로그램 기록
- URL 기록, 실행창 명령어 기록
- 네트워크 연결목록
- 컴퓨터 정보(OS VERSION, SP)
3. MRU(Most Recently Used)
가장 최근에 사용된 파일이나 프로그램에 대한 목록, 레지스트리에 기록된다.
4. AutoRun Location
시스템이 시작할 때 자동으로 시작되는 프로그램
★HKLM/.../RUN - 모든사용자에 대해 자동실행되는 프로그램
★HKCU/.../RUN - 해당사용자에 대해 자동실행되는 프로그램
5. USB 레지스트리 분석
- 볼륨 정보(C:, D:)
- 제조사, 제품명, 버전
- 식별자
- 사용자 식별
- 최초연결 시점 (레지스트리에 저장도지 않고 log 파일에 저장된다.)
- 마지막 연결 시점
Windows File Artifacts 분석
컴퓨터가 자동생성한 파일을 분석하는 것이 아티팩트 분석의 뜻이다.
1. 일반 파일 및 폴더
MAC TIME
Modified Time - 파일이 수정된 시간
Accessed Time - 파일이 읽혀진 시간
Created Time - 파일이 생성된 시간
- 작업에 따른 파일의 MAC 시간 변경
[생성 시]
MAC 모두 일치
[이름 변경 시]
A만 변경
[내용 수정 시]
MA 변경
[이동 시]
A만 변경
★[복사 시]
CA 변경
[압축해제 시]
MAC가 모두 일치되었다가
압축파일에 M을 보관했다가 M을 나중에 바꾸게 된다.
2. NTFS, FAT의 MAC 차이
FAT는 Access Time이 존재하지 않는다.
3. History 파일
- URL 목록
- Cache 파일
- Cookie 파일
index.dat에 데이터베이스형태로 저장
어디에 접속했는지
4. 임시인터넷 파일
방문한 사이트에 대한 웹 페이지, 이미지, Script, 업데이트되지 않은 웹 페이지 내용 확인 가능
( 임시 인터넷 파일을 이용해 새로 업로드된 인터넷파일과 비교해 볼 수 있다. )
5. Prefetch
프로그램 실행 시간 단축을 위해 생성
최근에 어떤 프로그램을 사용했는지 알 수 있음
6. Jump List
프로그램별로 어떤 대상 프로그램을 봤는가 알 수 있다.
APP 삭제시에도 남아있다.
'수 > 사이버 포렌식' 카테고리의 다른 글
3. 사이버포렌식 (0) | 2017.11.14 |
---|---|
2. 사이버포렌식 (0) | 2017.11.01 |
1. 사이버 포렌식 (0) | 2017.10.28 |
6. 사이버 포렌식 (0) | 2017.10.04 |
5. 사이버포렌식 (0) | 2017.09.25 |