티스토리 뷰

포렌식

윈도우 포렌식 레지스트리 분석

삼전동해커 2020. 9. 21. 23:40

윈도우 포렌식에 대해 공부해보자.

윈도우 포렌식

윈도우 시스템을 사용하면서 남는 아티팩트를 이용하여 

  • 파일 유출
  • 불법 다운로드
  • 문서 조작
  • 지정 매체 연결 흔적

  • 등에 대해 분석할 수 있다.


    #아티팩트란 증거물 같은 의미.


    레지스트리

     - 운영체제와 응용 프로그램 운영에 필요한 정보를 저장하기 위한 계층형 데이터 베이스.
     - 부팅 과정, 로그인, 서비스 실행, 응용프로그램 실행, 사용자 행위와 관련된 모든 것을 기록해 관리.
     - 레지스트리 정보는 하이브 파일이 관리한다.


    #하이브 파일

     - 레지스트리 정보를 저장하고 있는 물리적인 파일.

     - c:\windows\system32\config에 저장되어 있음.

     - 바이너리 형태로 저장되기 때문에 레지스트리 편집기가 없으면 볼수 없음.



    레지스트리 구성

    regedit을 열어 보면



    다음과 같은 파일이 있다.
    하나씩 알아보자.

    • HKEY_CLASSES_ROOT : 확장자에 관련된 정보와 연결 프로그램 정보, 파일 연관성과 COM 정보
    • HKEY_CURRENT_USER : 현재 로그인 되어 있는 사용자에 관련된 정보 저장

    • - Console : cmd.exe 실행창의 설정
      - AppEvents : 기타 제어판의 항목들
      - Network : 네트워크 드라이브 연결 정보
      - Printers : 프린터 연결 정보
      - Software : 설치된 프로그램 정보 - 현재 사용자에 관련된 정보만
      - System : 운영체제에 대한 정보 - 현재 사용자에 관련된 정보만

    • HKEY_LOCAL_MACHINE : 시스템 하드웨어 및 소프트웨어 정보(C:\windows\system32\config)

    • - HARDWARE : 부팅 시 감지된 하드웨어 목록과 드라이버 정보
      - SAM(Security Account manager) : 사용자/그룹 계정에 대한 관리
      - SECURITY : 보안 정책
      - SOFTWARE : 윈도우에 설치된 응용프로그램에 대한 정보
      - SYSTEM : 부팅 시 및 부팅 후에도 필요한 드라이버,서비스, OS 설정 값
    • HKEY_USERS : 모든 사용자 정보

    • HKEY_CURRENT_CONFIG : 시스템 시작시 사용되는 하드웨어 정보


    레지스트리 주요 분석

    레지스트리 내의 정보들로 아티팩트를 수집해보자.

    - 시스템 정보
    =HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
    #OS 설치 날짜/시간, OS 버전, 컴퓨터 이름, 그룹이름, 운영체제 설치 경로 확인

    InstallDate가 설치날짜/시간인데 data가 유닉스 시간으로 저장되어 있다.

    이 사이트에 십진수 값을 넣고 돌리면 날짜가 나온다.

    OS 버전도 나와 있다.

    컴퓨터 이름은
    =HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ComputerName
    에서 확인이 가능하다.


    설치된 프로그램 정보
    =HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
    에서 확인.



    이런 정보들을 하나하나 검색하는건 굉장히 귀찮고 복잡하다.
    그래서 정보들을 한번에 찾아주는 아주아주아주 좋고 무료인 프로그램이 있다.
    바로 REGA라는 프로그램이다.


    아주아주아주 똑똑한 고려대형님들이 만든 REGA라는 프로그램을 사용하면
    몇번의 클릭으로 데이터를 수집할 수 있다.

    프로그램을 실행해보자.


    여기서 file->메모리 정보 수집을 누르고
    C:\Windows\System32\Config를 선택하면 레지스트리 정보 수집을 할수 있다.




    '포렌식' 카테고리의 다른 글

    스테가노그래피 복호화 사이트  (0) 2020.11.01
    파일 시스템  (0) 2020.10.12
    디스크 포렌식 다중 파티션 복구  (0) 2020.09.25
    파일 시스템 포렌식 파티션 복구  (0) 2020.09.25
    메모리 포렌식 volatility  (0) 2020.09.17
    공지사항
    최근에 올라온 글
    최근에 달린 댓글
    Total
    Today
    Yesterday
    링크
    «   2024/11   »
    1 2
    3 4 5 6 7 8 9
    10 11 12 13 14 15 16
    17 18 19 20 21 22 23
    24 25 26 27 28 29 30
    글 보관함