윈도우 포렌식 레지스트리 분석

윈도우 포렌식에 대해 공부해보자.

윈도우 포렌식

윈도우 시스템을 사용하면서 남는 아티팩트를 이용하여 

파일 유출

불법 다운로드

문서 조작

지정 매체 연결 흔적

등에 대해 분석할 수 있다.

#아티팩트란 증거물 같은 의미.

레지스트리

 - 운영체제와 응용 프로그램 운영에 필요한 정보를 저장하기 위한 계층형 데이터 베이스.

 - 부팅 과정, 로그인, 서비스 실행, 응용프로그램 실행, 사용자 행위와 관련된 모든 것을 기록해 관리.

 - 레지스트리 정보는 하이브 파일이 관리한다.

#하이브 파일

 - 레지스트리 정보를 저장하고 있는 물리적인 파일.

 - c:\windows\system32\config에 저장되어 있음.

 - 바이너리 형태로 저장되기 때문에 레지스트리 편집기가 없으면 볼수 없음.

레지스트리 구성

regedit을 열어 보면

다음과 같은 파일이 있다.

하나씩 알아보자.

• HKEY_CLASSES_ROOT : 확장자에 관련된 정보와 연결 프로그램 정보, 파일 연관성과 COM 정보

• HKEY_CURRENT_USER : 현재 로그인 되어 있는 사용자에 관련된 정보 저장

- Console : cmd.exe 실행창의 설정
- AppEvents : 기타 제어판의 항목들
- Network : 네트워크 드라이브 연결 정보
- Printers : 프린터 연결 정보
- Software : 설치된 프로그램 정보 - 현재 사용자에 관련된 정보만
- System : 운영체제에 대한 정보 - 현재 사용자에 관련된 정보만



• HKEY_LOCAL_MACHINE : 시스템 하드웨어 및 소프트웨어 정보(C:\windows\system32\config)

- HARDWARE : 부팅 시 감지된 하드웨어 목록과 드라이버 정보
- SAM(Security Account manager) : 사용자/그룹 계정에 대한 관리
- SECURITY : 보안 정책
- SOFTWARE : 윈도우에 설치된 응용프로그램에 대한 정보
- SYSTEM : 부팅 시 및 부팅 후에도 필요한 드라이버,서비스, OS 설정 값

• HKEY_USERS : 모든 사용자 정보

• HKEY_CURRENT_CONFIG : 시스템 시작시 사용되는 하드웨어 정보

레지스트리 주요 분석

레지스트리 내의 정보들로 아티팩트를 수집해보자.

- 시스템 정보

=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

#OS 설치 날짜/시간, OS 버전, 컴퓨터 이름, 그룹이름, 운영체제 설치 경로 확인

InstallDate가 설치날짜/시간인데 data가 유닉스 시간으로 저장되어 있다.

https://www.epochconverter.com/

이 사이트에 십진수 값을 넣고 돌리면 날짜가 나온다.

OS 버전도 나와 있다.

컴퓨터 이름은

=HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ComputerName

에서 확인이 가능하다.

설치된 프로그램 정보

=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

에서 확인.

이런 정보들을 하나하나 검색하는건 굉장히 귀찮고 복잡하다.

그래서 정보들을 한번에 찾아주는 아주아주아주 좋고 무료인 프로그램이 있다.

바로 REGA라는 프로그램이다.

http://forensic.korea.ac.kr/tools.html

아주아주아주 똑똑한 고려대형님들이 만든 REGA라는 프로그램을 사용하면

몇번의 클릭으로 데이터를 수집할 수 있다.

프로그램을 실행해보자.

여기서 file->메모리 정보 수집을 누르고

C:\Windows\System32\Config를 선택하면 레지스트리 정보 수집을 할수 있다.