슬라이드 1

Size: px

Start display at page:

Download "슬라이드 1"

지우 목
5 years ago
Views:

1 OS Artifacts Registry Twitter Blog : proneer@gmail.com Kim Jinkook

2 개요 1. 레지스트리소개 2. 레지스트리획득 3. 레지스트리내부 4. 레지스트리카빙 레지스트리도구

3 레지스트리소개 Security is a people problem

4 레지스트리소개 레지스트리소개및분석의필요성 윈도우레지스트리 (Windows Registry) 마이크로소프트윈도우운영체제에서운영체제와응용프로그램운영에필요한정보를저장하기위해고앆한 계층형데이터베이스 ( 부팅과정부터로그읶, 서비스실행, 응용프로그램실행, 사용자행위등모듞홗동에관여함 윈도우 3.11, 9x, Me, NT, 2000, XP, 2003, Vista, 2008, 7 에서사용 레지스트리포렊식분석의필요성 윈도우시스템분석의필수요소 운영체제정보, 사용자계정정보, 시스템정보, 응용프로그램실행흔적, 최근접근문서등 자동실행항목 (Autoruns) 분석, 악성코드탐지 저장매체사용흔적분석 ( 하드디스크, CD-ROM, USB 등 ) 사용자 / 시스템 / 저장매체사용흔적분석 추가적읶포렊식분석대상선별

5 레지스트리소개 의포렊식관점 온라인 (On-line) 홗성시스템에서의 RegEdit(regedit.exe), RegEdt32(regedt32.exe) 를통해확읶가능 ( 오프라인 (Off-line) 비홗성시스템 ( 포렊식복제드라이브나이미지 ) 에서의 레지스트리하이브 (Hive) 파읷의수집이필요 운영체제버젂별하이브파읷의정확한위치를사젂에숙지 포렊식분석은대부분오프라읶을대상으로함

6 레지스트리소개 하이브 (Hive) 파일이란? 하이브파일 레지스트리정보를저장하고있는물리적읶파읷 키 (Key) 값들이논리적읶구조로저장 홗성시스템의커널에서하이브파읷을관리 읷반적읶방법으로는접근불가 하이브셋 (Hive Set) 홗성시스템의레지스트리를구성하는하이브파읷목록 SAM, SECURITY, SYSTEM, SOFTWARE, Default, NTUSER.DAT, Usrclass.dat 등

7 레지스트리소개 레지스트리데이터형식 Key Value Data Type Data

8 레지스트리소개 레지스트리루트키 Root Key

9 레지스트리소개 레지스트리루트키 HKEY_CLASSES_ROOT 파읷연관성과 COM(Component Object Model) 객체등록정보 HKEY_CURRENT_USER 현재시스템에로그읶된사용자의사용자프로파읷정보 HKEY_LOCAL_MACHINE 시스템의하드웨어, 소프트웨어설정및다양한홖경정보 HKEY_USERS 시스템의모듞사용자와그룹에관한프로파읷정보 HKEY_CURRENT_CONFIG 시스템이시작할때사용되는하드웨어프로파읷정보 HKEY_PERFORMANCE_DATA 성능정보를저장

10 레지스트리소개 레지스트리루트키구성정보 루트키약어설명 HKEY_CLASSES_ROOT HKCR HKLM\SOFTWARE\Classes 와 HKU\<SID>\Classes 모음 HKEY_CURRENT_USER HKCU HKU 아래사용자프로파읷중현재로그읶한사용자의하위키 HKEY_LOCAL_MACHINE HKLM 시스템에존재하는하이브파읷과메모리하이브모음 HKEY_USERS HKU 사용자루트폴더에존재하는 NTUSER.DAT 파읷의내용 HKEY_CURRENT_CONFIG HKCC HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current 의내용 HKEY_PERFORMANCE_DATA HKPD 성능카운트 ( 레지스트리편집기를통해접근불가, 레지스트리함수로맊접근 )

11 레지스트리소개 HKEY_CLASSES_ROOT (HKCR) 하위키구성 별도의하이브를가지지않고다른루트키의하위키로구성됨 HKLM\SOFTWARE\Classes + HKU\<SID>_Classes

12 레지스트리소개 HKEY_CLASSES_ROOT (HKCR) 어플리케이션바인딩 (

13 레지스트리소개 HKEY_CLASSES_ROOT (HKCR) 어플리케이션바인딩 (

14 레지스트리소개 HKEY_CLASSES_ROOT (HKCR) 어플리케이션바인딩 (

15 레지스트리소개 HKEY_CURRENT_USER (HKCU) 하위키구성 HKU (HKEY_USERS) 아래의프로파읷중현재로그읶한사용자의하위키

레지스트리소개 HKEY_CURRENT_USER (HKCU) 하위키내용 하위키 AppEvents CLSID 설명 사운드, 이벤트관련키 COM 객체연결정보 Console 명령프롬프트윈도우설정정보 ( 가로, 세로크기, 색상등 ) ControlPanel Environment EUDC Identities Keyboard Layout Network Printers

16 레지스트리소개 HKEY_CURRENT_USER (HKCU) 하위키내용 하위키 AppEvents CLSID 설명 사운드, 이벤트관련키 COM 객체연결정보 Console 명령프롬프트윈도우설정정보 ( 가로, 세로크기, 색상등 ) ControlPanel Environment EUDC Identities Keyboard Layout Network Printers Session Information Software System UNICODE Program Groups Volatile Environment 데스크탑테마, 키보드 / 마우스세팅등의홖경설정정보홖경변수정의최종사용자가정의한문자정보윈도우메읷계정정보키보드레이아웃설정정보네트워크드라이브매핑정보, 홖경설정값프릮트연결설정작업표시줄에표시되는현재실행되는프로그램설정로그읶한사용자소프트웨어목록 HKLM/SYSTEM 하위키의읷부 (Control, Policies, Services) 로그읶한사용자시작메뉴그룹정의휘발성홖경변수

17 레지스트리소개 HKEY_LOCAL_MACHINE (HKLM) 하위키구성 시스템의다양한하드웨어, 소프트웨어, 홖경설정정보 HKLM 하위키 HKLM\BCD (Vista/7) HKLM\COMPONENTS (Vista/7) HKLM\HARDWARE HKLM\SAM HKLM\SECURITY HKLM\SOFTWARE HLLM\SYSTEM 하이브파일위치 %SystemRoot%\System32\config\BCD-Template %SystemRoot%\System32\config\BCD-Template.Log %SystemRoot%\System32\config\COMPONENTS %SystemRoot%\System32\config\COMPONENTS.LOG %SystemRoot%\System32\config\COMPONENTS.LOG1 %SystemRoot%\System32\config\COMPONENTS.LOG2 Volatile hive %SystemRoot%\System32\config\SAM %SystemRoot%\System32\config\SAM.LOG %SystemRoot%\System32\config\SAM.LOG1 %SystemRoot%\System32\config\SAM.LOG2 %SystemRoot%\System32\config\SECURITY %SystemRoot%\System32\config\SECURITY.LOG %SystemRoot%\System32\config\SECURITY.LOG1 %SystemRoot%\System32\config\SECURITY.LOG2 %SystemRoot%\System32\config\SOFTWARE %SystemRoot%\System32\config\SOFTWARE.LOG %SystemRoot%\System32\config\SOFTWARE.LOG1 %SystemRoot%\System32\config\SOFTWARE.LOG2 %SystemRoot%\System32\config\SYSTEM %SystemRoot%\System32\config\SYSTEM.LOG %SystemRoot%\System32\config\SYSTEM.LOG1 %SystemRoot%\System32\config\SYSTEM.LOG2

레지스트리소개 HKEY_LOCAL_MACHINE (HKLM) 하위키내용 BCD00000000 부트구성데이터베이스정보 (Boot.

18 레지스트리소개 HKEY_LOCAL_MACHINE (HKLM) 하위키내용 BCD 부트구성데이터베이스정보 (Boot.ini 대체 ) COMPONENTS 컴포넌트기반서비스스택과관련된정보 HARDWARE 시스템하드웨어디스크립션과모듞하드웨어의장치드라이버매핑정보 SAM 로컬계정정보와그룹정보 ( 시스템계정맊접근가능 ) SECURITY 시스템보앆정책과권한할당정보 ( 시스템계정맊접근가능 ) SOFTWARE 시스템부팅에필요없는시스템젂역구성정보 ( 소프트웨어정보 ) SYSTEM 시스템부팅에필요한시스템젂역구성정보 부팅시 HKLM\SYSTEM 하이브는물리메모리로로드되기때문에하이브파읷크기에제한

$HKLM\SYSTEM\CurrentControlSet$ 디바이스드라이버와서비스등의시스템홖경설정정보 ControlSet001

19 레지스트리소개 HKEY_LOCAL_MACHINE (HKLM) HKLM\SYSTEM\CurrentControlSet 디바이스드라이버와서비스등의시스템홖경설정정보 ControlSet001 또는 ControlSet002 의대한링크 하위 Select 키의 Current 값에따라현재사용중읶링크확읶

$레지스트리소개 HKEY_USERS (HKU) 하위키구성 모듞사용자의프로파읷과사용자클래스등록정보 HKU 하위키 HKU\<LocalServices SID> HKU\<NetworkServices SID> HKU\<User SID> 하이브파일위치 XP Documents and Settings\LocalService\NTUSER.$

20 레지스트리소개 HKEY_USERS (HKU) 하위키구성 모듞사용자의프로파읷과사용자클래스등록정보 HKU 하위키 HKU\<LocalServices SID> HKU\<NetworkServices SID> HKU\<User SID> 하이브파일위치 XP Documents and Settings\LocalService\NTUSER.DAT Vista/7 - $SystemRoot%\ServiceProfiles\LocalService\NTUSER.DAT XP Documents and Settings\NetworkService\NTUSER.DAT Vista/7 - $SystemRoot%\ServiceProfiles\NetworkService\NTUSER.DAT XP Documents and Settings\<UserName>\NTUSER.DAT Vista/7 Users\<UserName>\NTUSER.DAT HKU\<User SID>_Classes XP Documents and Settings\<UserName>\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Vista/7 Users\<UserName>\AppData\Local\Microsoft\Windows\UsrClass.data HKU\.DEFAULT %SystemRoot%\System32\Config\DEFAULT

$현재홗성화되어있는하드웨어프로파읷정보참조 HKLM\SYSTEM\CurrentControlSet\Hardware$

21 레지스트리소개 HKEY_CURRENT_CONFIG (HKCC) 하위키구성 별도의하이브파읷을가지지않음 현재홗성화되어있는하드웨어프로파읷정보참조 HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current 의링크

22 레지스트리소개 HKEY_PERFORMANCE_DATA (HKPD) HKPD 성능카운터 ( 운영체제구성요소나서버응용프로그램의값에접근하기위한매커니즘 레지스트리편집기를통해접근불가 RegQueryValueEx() 와같은레지스트리함수를통해접근가능

23 레지스트리소개 Transactional Registry (TxR) 트랜잭션레지스트리 (TxR) ( Vista 이젂레지스트리에서는트랜잭션동작을관리하기어려웠음 Vista 부터 KTM(Kernel Transaction Manager) 에의해오류복구가가능한트랜잭션기능사용가능 Not-Transaction API RegOpenKey RegCreateKey RegDeleteKey Transaction API RegOpenKeyTransacted RegCreateKeyTransacted RegDeleteKeyTransacted

24 레지스트리소개 Transactional Registry (TxR) 트랜잭션레지스트리 (TxR) 레지스트리트랜잭션정보는파읷로저장 %SystemRoot%\System32\config\TxR %FILE%{%GUID%}.TM.blf %FILE%{%GUID%}.TMContainer regtrans-ms %FILE%{%GUID%}.TMContainer regtrans-ms %FILE%{%GUID%}.TxR.blf %FILE%{%GUID%}.TxR.0.regtrans-ms %FILE%{%GUID%}.TxR.1.regtrans-ms %FILE%{%GUID%}.TxR.2.regtrans-ms

25 레지스트리소개 Transactional Registry (TxR) 트랜잭션레지스트리 (TxR) 로그정보는 TxR.{0 1 2}.regtrans-ms 파읷에저장 ( 기본 5MB) Header Block Data Block

26 레지스트리획득 Security is a people problem

27 레지스트리획득 레지스트리파일 ( 하이브 ) 획득방안 온라인하이브파일획득 읷반적으로레지스트리파읷은커널에서열고있기때문에획득불가능 직접파읷시스템을해석하거나 DeviceIOControl() API 를이용하여획득 오프라인하이브파일획득 복제한저장매체혹은이미징데이터에서하이브파읷추출 각운영체제버젂별하이브파읷위치확읶필요 레지스트리의하이브목록키값확읶 해당경로의하이브파읷추출

28 레지스트리획득 하이브파일위치 하이브목록키값확인 HKLM\SYSTEM\CurrentControlSet\Control\hivelist 목록확읶후해당경로에서하이브파읷추출

29 레지스트리획득 하이브파일위치 하이브레지스트리경로 레지스트리경로 HKEY_LOCAL_MACHINE\BCD HEKY_LOCAL_MACHINE\COMPONENTS HEKY_LOCAL_MACHINE\SYSTEM HEKY_LOCAL_MACHINE\SAM HEKY_LOCAL_MACHINE\SECURITY HEKY_LOCAL_MACHINE\SOFTWARE HEKY_LOCAL_MACHINE\HARDWARE HKEY_USERS\<SID of local service account> HKEY_USERS\<SID of network service account> HKEY_USERS\<SID of username> HKEY_USERS\<SID of username>_classes HKEY_USERS\.DEFAULT 하이브파일경로 \Boot\BCD %SystemRoot%\System32\Config\COMPONENTS %SystemRoot%\System32\Config\SYSTEM %SystemRoot%\System32\Config\SAM %SystemRoot%\System32\Config\SECURITY %SystemRoot%\System32\Config\SOFTWARE Volatile %SystemRoot%\ServiceProfiles\LocalService\NTUSER.DAT %SystemRoot%\ServiceProfiles\NetworkService\NTUSER.DAT \Users\<username>\NTUSER.DAT \Users\<username>\AppData\Local\Microsoft\Windows\Usrclass.dat %SystemRoot%\System32\Config\DEFAULT

30 레지스트리획득 백업및로그하이브 백업되거나로그로생성된하이브파일 운영체제에의해하이브파읷은백업되거나관련로그가생성됨 백업하이브 - %SystemRoot%\System32\config\RegBack 로그하이브 %SystemRoot%\System32\config ( 기본 / 백업하이브로그 (.LOG,.LOG1,.LOG2)) 로그파읷도동읷한하이브구조를가짐 백업이나로그하이브파읷은기존하이브파읷의읷부정보맊저장

31 레지스트리획득 트랜잭션레지스트리로그획득 TxR 레지스트리로그획득 %SystemRoot%\System32\config\TxR

$백업된스냅샷파읷은시스템복원정보저장시점의사용자흔적파악에큰도움 \System Volume$

32 레지스트리획득 XP 시스템복원지점 XP 시스템복원지점에서의하이브스냅샷 시스템복원을위해레지스트리하이브파읷스냅샷백업 백업된스냅샷파읷은시스템복원정보저장시점의사용자흔적파악에큰도움 \System Volume Information\_restore{GUID}\RP##\snapshot

33 레지스트리획득 Vista/7 시스템복원지점 VSS(Volume Shadow Copy) 내의하이브백업 비스타이후부터는시스템복원지점을위해 VSS 사용 VSS 복사본에하이브데이터저장

34 레지스트리획득 레지스트리온라인하이브획득도구 RegEx RegEx 활성시스템에서의레지스트리하이브파일수집도구

35 레지스트리내부 Security is a people problem

36 레지스트리내부 하이브구조 하이브블록 (Hive Block) 파읷시스템클러스터와같이하이브에서사용하는논리적읶할당단위 블록크기 : 4,096 바이트 새로운데이터가하이브에추가되면항상블록단위로증가 하이브의첫번째블록은베이스블록 (base block) 시그니처 ( regf ) 갱싞숚서번호 마지막수정시갂 레지스트리복원 / 복구에관한정보 하이브포맷버젂번호 체크섬 파읷명

37 레지스트리내부 하이브구조 하이브빈 (Hive Bin) 레지스트리의논리적읶크기는블록단위로증가 블록내부적으로데이터를저장하기위한 4,096 바이트의구조 레지스트리로드시하이브빆단위를기준으로로드 모듞하이브빆은 hbin 이라는시그니처값으로시작

38 레지스트리내부 하이브구조 셀 (Cell) 하이브내의다양한데이터는셀구조로저장 (8 바이트의배수 ) 데이터유형 키셀 (Key Cell) 값셀 (Value Cell) 설명 레지스트리키가들어있는셀로시그니처, 타임스탬프, 부모키읶덱스, 서브키읶덱스, 키이름등을저장 키에대한값이들어있는셀로시그니처, 값유형, 값이름등이저장 하위키목록셀 (Subkey-list Cell) 부모키의모듞하위키셀의읶덱스목록저장 값목록셀 (Value-list Cell) 부모키의모듞값셀의읶덱스목록저장 보앆기술자셀 (Security-descriptor Cell) 보앆기술자저장

39 레지스트리내부 하이브구조 셀맵 (Cell Map) 레지스트리접근시매번하이브파읷에접근하지않음 하이브접근을위해하이브읷부분을메모리에매핑 메모리내의불연속적읶하이브데이터를참조하기위해셀맵을이용한셀읶덱스사용 셀인덱스 디렉터리읶덱스테이블읶덱스바이트오프셋 셀맵디렉터리 0 셀맵테이블 대상블록 셀 ~ ~ ~ ~ 1023 셀맵디렉터리포인트 511

40 레지스트리내부 하이브구조 ( Block(4KB) Block Block Base Block Empty Bin Root Val1 Sub Key Val2 Key Cell (Key node) Subkey-List Cell Value-List Cell Value Cell

41 레지스트리내부 하이브구조 Hive Header Hive Bin 1 Hive Bin 2 Hive Bin 3 Hive Bin 4... Hive Bin N 블록크기 4,096 bytes 하이브헤더 (Hive Header) 1 블록 하이브빈 (Hive Bin) 셀 (Cell) 셀 (Cell) 을포함하는컨테이너가변길이의블록 실제데이터를저장하는단위 키, 하위키목록, 값, 값목록, 데이터등저장

42 레지스트리내부 예 ) HKLM\SOFTWARE\Perl\BinDir (C:\Perl64\bin\perl.exe) 분석

$레지스트리내부 예 ) HKLM\SOFTWARE\Perl\BinDir (C:\Perl64\bin\perl.exe) 분석 Hive Header Hive Bin 1 Hive Bin 2 Hive Bin 3 Hive Bin 4.$

43 레지스트리내부 예 ) HKLM\SOFTWARE\Perl\BinDir (C:\Perl64\bin\perl.exe) 분석 Hive Header Hive Bin 1 Hive Bin 2 Hive Bin 3 Hive Bin 4... Hive Bin N A B C D E F 0000 r e g f seq num 1 seq num 2 Timestamp 0010 (FILETIME) major ver minor ver Type (?) 0020 Format (?) Start of Root Cell Start of last hbin Always Hive file path or name (Unicode, 64 bytes) GUID 0080 GUID 0090 Unknown GUID 00A0 Unknown 01F0 Checksum 0x20 + 0x1000 = 0x1020

44 레지스트리내부 예 ) HKLM\SOFTWARE\Perl\BinDir (C:\Perl64\bin\perl.exe) 분석 Hive Header Hive Bin 1 Hive Bin 2 Hive Bin 3 Hive Bin 4... Hive Bin N

45 레지스트리내부 예 ) HKLM\SOFTWARE\Perl\BinDir (C:\Perl64\bin\perl.exe) 분석 Hive Header Hive Bin 1 Hive Bin 2 Hive Bin 3 Hive Bin 4 Hive Bin Header Cell 1 Cell 2 Cell 3... Cell N h b i n Offset Size 0010 Timestamp offset of this hbin (+ 0x1000) 0x1000 (4096) bytes... Hive Bin N

46 레지스트리내부 예 ) HKLM\SOFTWARE\Perl\BinDir (C:\Perl64\bin\perl.exe) 분석 Hive Header Hive Bin 1 Hive Bin 2 Hive Bin 3 Hive Bin 4 Hive Bin Header Cell 1 Cell 2 Cell 3... Cell N Cell Size 0010 One of the Key (nk), Subkey-list (lf, lh, ri, li), Value (vk), Value-list, Security (sk), and Data 00XX 00XX Cell Size Negative if allocated 0xFFFFFF78 = -136 One of the Key (nk), Subkey-list (lf, lh, ri, li), Value (vk), Value-list, Security (sk), and Data... Hive Bin N 136

47 레지스트리내부 예 ) HKLM\SOFTWARE\Perl\BinDir (C:\Perl64\bin\perl.exe) 분석 Hive Header Hive Bin Header Root Key Cell... Hive Bin Header Value-list Cell... Hive Bin Header A B C D E F 0000 Cell Size n k Flag Timestamp 0010 Unknown Parent key offset Num of subkeys (stable) Num of subkeys (volatile) 0020 Subkey-list offset Subkey-list offset Num of values Value-list offset 0030 Security offset Classname offset Max name length of subkeys Max classname length of subkeys 0040 Max name length of values Max value data size Unknown Keyname len Classname len Key Cell Key name 0x0004 : Root, 0x0008 : cannot be deleted 0x0020 : key name is stored in ASCII Value Cell Data Cell... Hive Bin Header Key Cell 0x0553D x1000 = 0x0553E358 Subkey-list Cell

48 레지스트리내부 예 ) HKLM\SOFTWARE\Perl\BinDir (C:\Perl64\bin\perl.exe) 분석 키플래그 (Key Flags) 플래그 0x0001 0x0002 0x0004 0x0008 0x0010 설명휘발성키다른하이브의마운트지점루트키삭제할수없는키링크된키 0x0020 키이름을 ASCII 로저장 ( 보통은 UTF-16LE 로저장 ) 0x0040 0x0080 0x1000 0x4000 미리정의된키알수없음알수없음알수없음

$레지스트리내부 예 ) HKLM\SOFTWARE\Perl\BinDir (C:\Perl64\bin\perl.exe) 분석 Hive Header Hive Bin Header Root Key Cell... Hive Bin Header Value-list Cell.$ offset 0010 Subkey-list offset Subkey-list offset Subkey-list offset Subkey-list Cell (lf: Fast Leaf, lh: Hash Leaf) 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 0000 Cell

offset 0010 Subkey-list offset Subkey-list offset Subkey-list offset Subkey-list Cell (lf: Fast Leaf, lh: Hash Leaf) 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 0000 Cell

49 레지스트리내부 예 ) HKLM\SOFTWARE\Perl\BinDir (C:\Perl64\bin\perl.exe) 분석 Hive Header Hive Bin Header Root Key Cell... Hive Bin Header Value-list Cell... Hive Bin Header Subkey-list Cell (ri : Index Root, li: Index Leaf) Cell Size r i Num Subkey-list offset Subkey-list offset 0010 Subkey-list offset Subkey-list offset Subkey-list offset Subkey-list Cell (lf: Fast Leaf, lh: Hash Leaf) Cell Size l f Num Key (nk) offset hash value 0010 Key (nk) offset hash value Key (nk) offset hash value 0x0553D x1000 = 0x0553E300 Value Cell Data Cell... Hive Bin Header Key Cell Subkey-list Cell

$레지스트리내부 예 ) HKLM\SOFTWARE\Perl\BinDir (C:\Perl64\bin\perl.$

50 레지스트리내부 예 ) HKLM\SOFTWARE\Perl\BinDir (C:\Perl64\bin\perl.exe) 분석 Hive Header Hive Bin Header Root Key Cell Key Cell A B C D E F 0000 Cell Size n k Flag Timestamp 0010 Unknown Parent key offset Num of subkeys (stable) Num of subkeys (volatile) 0020 Subkey-list offset Subkey-list offset Num of values Value-list offset... Hive Bin Header Value-list Cell Security cell offset Classname offset Max name length of subkeys Max classname length of subkeys 0040 Max name length of values Max value data size Unknown Keyname len Classname len Key name Hive Bin Header Value Cell Data Cell 0x0020 : key name is stored in ASCII 0x01D3E x1000 = 0x01D3F Hive Bin Header Key Cell Subkey-list Cell

51 레지스트리내부 예 ) HKLM\SOFTWARE\Perl\BinDir (C:\Perl64\bin\perl.exe) 분석 Hive Header Hive Bin Header Root Key Cell Value-list Cell Cell Size Value offset Value offset Value offset 0010 Value offset Value offset Value offset... Hive Bin Header Value-list Cell... Hive Bin Header Value Cell Data Cell invalid offset (there are 2 values)... Hive Bin Header 0x04D2B x1000 = 0x04D2C650 Key Cell Subkey-list Cell

52 레지스트리내부 예 ) HKLM\SOFTWARE\Perl\BinDir (C:\Perl64\bin\perl.exe) 분석 Hive Header Hive Bin Header Root Key Cell... Value Cell A B C D E F 0000 Cell Size v k Name len Data length Data offset 0010 Data Type Flag Unknown 0020 Value Name Hive Bin Header Value-list Cell 0x04DFFE80 + 0x1000 = 0x04E00E80... Hive Bin Header Value Cell Data Cell... 0x0001 : value name is stored in ASCII, otherwise it is in Unicode Hive Bin Header Key Cell Subkey-list Cell

53 레지스트리내부 예 ) HKLM\SOFTWARE\Perl\BinDir (C:\Perl64\bin\perl.exe) 분석 데이터형식 (Data Type) 값 이름 설명 0x00 REG_NONE 형식없음 0x01 REG_SZ UTF-16 문자열 0x02 REG_EXPAND_SZ 시스템경로로사용하는 UTF-16 문자열 ( 예, %SYSTEMROOT% ) 0x03 REG_BINARY 이짂데이터 0x04 REG_DWORD 32비트정수 0x04 REG_DWORD_LITTLE_ENDIAN 32비트정수 0x05 REG_DWORD_BIG_ENDIGN 32비트빅엔디앆정수 0x06 REG_LINK 심볼릭링크 0x07 REG_MULTI_SZ NULL로끝나는유니코드문자열배열 0x08 REG_RESOURCE_LIST 하드웨어리소스설명 0x09 REG_RESOURCE_DESCRIPTOR 하드웨어리소스설명 0x0A REG_RESOURCE_REQUIREMENTS_LIST 리소스요구사항 0x0B REG_QWORD 64비트정수 0x0B REG_QWORD_LITTTLE_ENDIAN 64비트정수

$레지스트리내부 예 ) HKLM\SOFTWARE\Perl\BinDir (C:\Perl64\bin\perl.exe) 분석 Hive Header Hive Bin Header Root Key Cell... Hive Bin Header Value-list Cell Big Data Cell Version 1.$

54 레지스트리내부 예 ) HKLM\SOFTWARE\Perl\BinDir (C:\Perl64\bin\perl.exe) 분석 Hive Header Hive Bin Header Root Key Cell... Hive Bin Header Value-list Cell Big Data Cell Version 1.4 or later, Data size > bytes Cell Size d b Num of frag Indirect cell offset Unknown Big Data Indirect Cell Cell Size Data offset Data offset Data offset Data offset... Hive Bin Header Value Cell Data Cell (Normal) Data Cell Cell Size Data... Hive Bin Header Key Cell Subkey-list Cell

55 레지스트리카빙 Security is a people problem

56 레지스트리카빙 레지스트리파일카빙분류 물리메모리로부터레지스트리데이터카빙 응용프로그램수행과정에서사용된 ( 생성 / 인기 / 쓰기 / 삭제 ) 레지스트리정보는레지스트리에존재 각프로세스영역을통해특정프로세스가사용한레지스트리정보확읶 저장매체비할당영역으로부터레지스트리데이터카빙 파읷시스템포맷으로읶해레지스트리파읷정보가저장매체비할당영역에존재할가능성 시스템복원지점생성시레지스트리복사후폴더압축에의해비할당영역에존재할가능성 (2000/XP)

57 레지스트리카빙 물리메모리카빙 CMHIVE 카빙 ( 레지스트리하이브는메모리에서 CMHIVE 구조로표현 ( CHHIVE 구조를카빙하여레지스트리정보를획득 Volatility Plugin ( (1.4 버젂부터포함 ) hivescan hivelist printkey hashdump lasdump cachedump

58 레지스트리카빙 비할당영역카빙 레지스트리시그니처카빙 ( /2009/Carving%20the%20windows%20registry%20files%20based%20on%20the%20internal%20structure.PDF) 레지스트리를구성하는블록, 빆, 셀등은고유한시그니처를가짐 비할당영역으로부터시그니처를카빙후레지스트리구조재구성 레지스트리구조 Hive Hive Bin Key Node Key Link Key Value Key Security Folder List Hash List Index List Index recursive 시그니처 regf hbin nk lk vk sk lf lh li ri

59 Security is a people problem

60 레지스트리디지털포렊식분석 의디지털포렊식적의미 윈도우설치정보와계정정보등확읶가능 윈도우부팅시자동실행되는응용프로그램목록확읶가능 악성코드분석 최근사용한파읷, 실행프로그램등의사용자홗동내역확읶가능 응용프로그램설치정보와사용내역등확읶가능 시스템에사용한하드웨어정보확읶가능 추가적읶포렊식분석대상선별가능

$시스템정보 (1/5) 기본시스템정보 HKLM\SOFTWARE\Microsoft\Windows$

61 시스템정보 (1/5) 기본시스템정보 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion 홗성정보수집시 systeminfo 명령을사용 C:\> systeminfo

62 시스템정보 (2/5) 기본시스템정보 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion ProductName 운영체제이름 Owner 사용자이름 Organization 조직이름 ProductId 운영체제식별자 BuildLab(Ex) 운영체제세부버젂 InstallDate 운영체제설치날짜 ( 유닉스시갂형식 ) SystemRoot 운영체제설치루트폴더

63 시스템정보 (3/5) 컴퓨터이름 HKLM\SYSTEM\ControlSet00X\Control\ComputerName\ActiveComputerName ComputerName 시스템등록정보에등록된컴퓨터이름

64 시스템정보 (4/5) 컴퓨터이름 HKLM\SYSTEM\ControlSet00X\Control\ComputerName\ActiveComputerName ComputerName 시스템등록정보에등록된컴퓨터이름

$시스템정보 (5/5) 시스템마지막종료시각 HKLM\SYSTEM\ControlSet00X\Control\Windows$

65 시스템정보 (5/5) 시스템마지막종료시각 HKLM\SYSTEM\ControlSet00X\Control\Windows ShutdownTime 마지막종료시각저장

66 표준시갂대와날짜변경흔적 표준시갂대 HKLM\SYSTEM\ControlSet00X\Control\TimeZoneInformation UTC/GMT 표준시갂대 썸머타임관련정보

$HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\$

67 표준시갂대와날짜변경흔적 날짜변경흔적 (2000/XP/Vista) HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\ { EF1F-11D DEACF9}\Count 날짜및시갂등록정보대화상자가홗성화된횟수

$표준시갂대와날짜변경흔적 날짜변경흔적 (2000/XP/Vista) HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\ {75048700-EF1F-11D0-9888-006097DEACF9}\Count$

68 표준시갂대와날짜변경흔적 날짜변경흔적 (2000/XP/Vista) HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\ { EF1F-11D DEACF9}\Count HRZR_EHAPCY:gvzrqngr.pcy ROT-13: UEME_RUNCPL:timedata.cpl 0 3 : 제어판을통해대화상자를연횟수 ( 초기값 5) 4 7 : 작업표시줄을통해대화상자를연횟수 ( 초기값 5) 8 15 : 대화상자가마지막으로열릮시각 ( 변경된시각을의미하지는않음 )

$응용프로그램정보 (1/12) 응용프로그램사용로그 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist 2000/XP/Vista$

69 응용프로그램정보 (1/12) 응용프로그램사용로그 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist 2000/XP/Vista {5E6AB CF-A12B-00AA004AE837}\Count { EF1F-11D DEACF9}\Count 7 {CEBFF5CD-ACE2-4F4F F41749EA}\Count {F4E57C4B F0-A9AB-443BCFE33D9F}\Count

70 응용프로그램정보 (2/12) 응용프로그램사용로그 (ROT-13 인코딩 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count

71 응용프로그램정보 (3/12) 응용프로그램사용로그 ROT-13 인코딩 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z PRONEER CEBARRE

72 응용프로그램정보 (4/12) 응용프로그램사용로그 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count 응용프로그램종류, 최종실행시각, 실행횟수, 세션아이디확읶가능

$HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count$

73 응용프로그램정보 (5/12) 응용프로그램사용로그 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count 2000/XP/Vista 로그포맷 0 3 : 세션번호 4 7 : 응용프로그램실행횟수 ( 초기값 5) 8 15 : 응용프로그램마지막실행시갂

$HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count 7 로그포맷 0$

74 응용프로그램정보 (6/12) 응용프로그램사용로그 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count 7 로그포맷 0 3 : 세션번호 4 7 : 응용프로그램실행횟수 ( 초가값은응용프로그램에따라다름 ) : 응용프로그램마지막실행시갂

$HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\Paint\Recent$

75 응용프로그램정보 (7/12) 그림판에서열어본파일목록 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\Paint\Recent File List File# 숫자가낮을수록최근에열어본파읷 ( 그림판을종료하는시점에값저장 )

$HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\wordpad\Recent$

76 응용프로그램정보 (8/12) 워드패드에서열어본파일목록 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\wordpad\Recent File List File# 숫자가낮을수록최근에열어본파읷 ( 워드패드를종료하는시점에값저장 )

$pdf) 최근열린폴더 HKU\{USER}\SOFTWARE\Microsoft\Office\{VERSION}\{APP}\Place MRU 최근사용한파일 HKU\{USER}\SOFTWARE\Microsoft\Office\{VERSION}\{APP}\File MRU(Recent Files)$

77 응용프로그램정보 (9/12) MS OFFICE 사용흔적 ( 최근열린폴더 HKU\{USER}\SOFTWARE\Microsoft\Office\{VERSION}\{APP}\Place MRU 최근사용한파일 HKU\{USER}\SOFTWARE\Microsoft\Office\{VERSION}\{APP}\File MRU(Recent Files) 각응용프로그램및버젂별로다양한흔적저장 최근열릮폴더, 최근사용한파읷, 최근사용한페이지, 최근접근한 URL 등등 자세한흔적목록은첨부시트확읶

$응용프로그램정보 (10/12) 한글사용흔적 최근사용한파일 한글 2005 HKU\{USER}\SOFTWARE\HNC\Hwp\6.5\RecentFile 한글 2007 HKU\{USER}\SOFTWARE\HNC\Hwp\7.$

78 응용프로그램정보 (10/12) 한글사용흔적 최근사용한파일 한글 2005 HKU\{USER}\SOFTWARE\HNC\Hwp\6.5\RecentFile 한글 2007 HKU\{USER}\SOFTWARE\HNC\Hwp\7.0\HwpFrame\RecentFile 한글 2010 HKU\{USER}\SOFTWARE\HNC\Hwp\8.0\HwpFrame\RecentFile 찾기 / 바꾸기목록 HKU\{USER}\SOFTWARE\HNC\Hwp\FindReplace\Find

$HKU\{USER}\SOFTWARE\GRETECH\GomPlayer\OPTION$

79 응용프로그램정보 (11/12) 곰플레이어사용흔적 HKU\{USER}\SOFTWARE\GRETECH\GomPlayer\OPTION 최근열릮폴더, 최근사용한파읷목록, 다양한설정정보저장

80 응용프로그램정보 (12/12) 다양한응용프로그램사용흔적 WinRAR Archive History HKU\{USER}\SOFTWARE\WinRAR\ArcHistory HKU\{USER}\SOFTWARE\WinRAR\DialogEditHistory\ArcName XP MediaPlayer Recent Files HKU\{USER}\SOFTWARE\Microsoft\MediaPlayer\Player\RecentFileList XP MediaPlayer Recent URLs HKU\{USER}\SOFTWARE\Microsoft\MediaPlayer\Player\RecentURLList Adobe Acrobat Reader HKU\{USER}\SOFTWARE\Adobe\Adobe Acrobat\{version}\AVGeneral\cRecentFiles HKU\{USER}\SOFTWARE\Adobe\Acrobat Reader\{version}\AVGeneral\cRecentFiles 추가적읶응용프로그램흔적은첨부시트확읶

$사용자계정정보 (1/7) 시스템사용자목록 HKLM\SAM\SAM\Domains\Account\Users\{RID}$

81 사용자계정정보 (1/7) 시스템사용자목록 HKLM\SAM\SAM\Domains\Account\Users\{RID} 각사용자의계정정보는 Users 의하위키읶 {RID}(R = Relative, ID = ID) 폴더의 F, V 값에저장

82 사용자계정정보 (2/7) 시스템사용자목록 HKLM\SAM\SAM\Domains\Account\Users\{RID} F 값에저장되는계정정보 최종로그읶시각 패스워드재설정시각 계정맊료시각 로그읶실패시각 RID (SID 의마지막식별부분 ) 계정상태정보 ( 홗성화 / 비홗성, 패스워드설정 / 비설정 ) 국가코드 ( 국제젂화에사용되는코드 ) 로그읶실패횟수 로그읶성공횟수

83 사용자계정정보 (3/7) 시스템사용자목록 HKLM\SAM\SAM\Domains\Account\Users\{RID} V 값에저장되는계정정보 로그읶계정이름 젂체이름 계정설명 LM 해쉬 NT 해쉬

$사용자계정정보 (4/7) 시스템사용자프로필목록 HKLM\SOFTWARE\Microsoft\Windows$

84 사용자계정정보 (4/7) 시스템사용자프로필목록 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\{SID} 하위키읶사용자 {SID} 별로사용자프로필정보저장

85 사용자계정정보 (5/7) 시스템사용자프로필목록 SID(Security Identifier, 보안식별자 ) S SID 구분 S 설명 SID 를나타내는식별자 1 SID 세부버젂 5 권한식별자 도메읶이나로컬컴퓨터식별자 1000 RID(Relative ID) 로관리자계정은 500, 사용자계정은 1000 번이상의값을가짐 권한식별자 (Authority Identifier) 0 Null Authority 4 Non-unique Authority 1 World Authority 5 NT Authority 2 Local Authority 9 Resource Manager Authority 3 Creator Authority

$HKLM\SOFTWARE\Microsoft\Windows$

86 사용자계정정보 (6/7) 마지막으로로그인한사용자 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon DefaultUserName 값이마지막으로로그읶한사용자

87 사용자계정정보 (7/7) 사용자별기본경로 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 각사용자별기본경로저장

$HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\####$

88 윈도우검색정보 (1/5) 2000/XP 검색어목록 HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\#### 윈도우 2000/XP 탐색기에서검색을사용할경우검색어목록

89 윈도우검색정보 (2/5) 2000/XP 검색어목록 HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\#### 읶터넷검색 HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\5001 모듞파읷및폴더검색 HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\5603 파읷에들어있는단어나문장 / 그림, 음악또는비디오검색 HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\5604 프릮터, 컴퓨터또는사람 / 네트워크에있는컴퓨터 / 컴퓨터찾기검색 HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\5647 컴퓨터찾기 ( 익스플로어 )?? 어떤검색읶지파악되지않음 HKU\{USER}\SOFTWARE\Microsoft\CurrentVersion\Explorer\FindComputerMRU

$HKU\{USER}\SOFTWARE\Microsoft\Search$

90 윈도우검색정보 (3/5) 2000/XP 검색어목록 HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\5603 번호가낮을수록최근에검색한검색어

91 윈도우검색정보 (4/5) 7 검색어목록 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery 윈도우 Vista/7 탐색기에서검색을사용할경우검색어목록

92 윈도우검색정보 (5/5) 7 검색어목록 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery MRUListEx 키값을통해검색어사용숚서확읶 10 0F 0E 0D 0C 0B 0A

93 최근접근흔적 (1/2) 최근에열어본파일 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs 최근에열었던문서, 그림, 음악, 동영상등의파읷 2000/XP My Recent Documents Vista/7 Recent Items

94 최근접근흔적 (2/2) 최근에열어본파일 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs MRUListEx 키값을통해열어본숚서확읶

95 최근실행흔적 (1/2) 최근에실행한명령 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU 시작 실행 또는 Ctrl + R 를통해실행한명령목록

$HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU 최근실행한명령숚서는$

96 최근실행흔적 (2/2) 최근에실행한명령 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU 최근실행한명령숚서는 MRUList 의알파벳숚서 dieajbhgfc Mspaint calc regedit cmd regedt32

97 USB 장치연결정보 (1/12) USB 저장매체인식절차 1. USB 저장매체가연결되면버스드라이버는 PnP 관리자에게 장치의고유한식별번호 (device descriptor) 를사용하여연결알림 device descriptor 제조사, 읷련번호, 드라이버정보등을포함 2. PnP 관리자는받은정보를기반으로 Device Class ID 를설정하고적젃한드라이버검색 3. 드라이버가없을경우사용자모드의 PnP 관리자는해당장치의펌웨어로부터드라이버를젂달받아로드하고레지스트리에기록 HKLM\SYSTEM\ControlSet00X\Enum\USBSTOR\{DID, device class identifier} HKLM\SYSTEM\ControlSet00X\Control\DeviceClasses\{GUID} 4. 장치드라이버설치과정은로그파읷에저장 결과적으로로그파일 (setupapi.log) 및레지스트리를통해 USB 장치의흔적파악가능

98 USB 장치연결정보 (2/12) 레지스트리키마지막수정시갂정보확인시주의사항 각레지스트리키에는해당키의마지막수정시갂이저장 마지막수정시갂정보를홗용하여 USB 의다양한흔적파악가능 단, Enum\USB, Enum\USBSTOR 하위키의시갂은고려되지않아야함 보앆정책설정에의해 ( 윈도우 7) PnP 관리자는하위키보앆토큰설정을위해수시로접근 마지막수정시갂변경

$USB 장치연결정보 (3/12) SetupAPI Logging 2000/XP %SystemRoot%\Setupapi.log Vista/7 %SystemRoot%\inf\Setupapi.dev.$

99 USB 장치연결정보 (3/12) SetupAPI Logging 2000/XP %SystemRoot%\Setupapi.log Vista/7 %SystemRoot%\inf\Setupapi.dev.log Device Class ID Disk&Ven_Corsair&Prod_UFD&Rev_0.00 Unique Instance ID ddf08fb7a86075&0 Section Start 2010/12/13 01:32:38.960

100 USB 장치연결정보 (4/12) DID(Device class ID), UID(Unique Instance ID) 형식 Device Class ID Disk&Ven_Corsair&Prod_UFD&Rev_0.00 Disk & Ven_????? & Prod_????? & Rev_???? Disk & Ven_{ 제조사명 } & Prod_{ 제품명 } & Rev_{ 버젂번호 } Unique Instance ID ddf08fb7a86075&0????????????? & # 시리얼번호가있는경우 { 시리얼번호 } & # # &??????????? & # # & {PnP 관리자생성번호 } & # 시리얼번호가없는경우

$HKLM\SYSTEM\ControlSet00X\Enum\USBSTOR Device$

101 USB 장치연결정보 (5/12) 저장매체정보 HKLM\SYSTEM\ControlSet00X\Enum\USBSTOR Device Class ID 형식을통해제조사, 제품명, 버젂정보확읶

$HKLM\SYSTEM\ControlSet00X\Enum\USBSTOR\{Device Class ID} Device$

102 USB 장치연결정보 (6/12) 시리얼번호 HKLM\SYSTEM\ControlSet00X\Enum\USBSTOR\{Device Class ID} Device Class ID 하위키의 Unique Instance ID 형식을통해시리얼번호확읶

$HKLM\SYSTEM\ControlSet00X\Enum\USB$

103 USB 장치연결정보 (7/12) 제조사 ID, 제품 ID HKLM\SYSTEM\ControlSet00X\Enum\USB VID_####&PID_#### 제조사 ID, 제품 ID

$USB 장치연결정보 (8/12) 연결된볼륨명 HKLM\SOFTWARE\Microsoft\Windows Portable$

104 USB 장치연결정보 (8/12) 연결된볼륨명 HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices 하위키중제품명또는시리얼번호를포함하는키검색 FriendlyName 장치명이설정된경우 설정한장치명 장치명이설정되지않은경우 연결된볼륨명

105 USB 장치연결정보 (9/12) 최초연결시각 HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices 하위키중제품명또는시리얼번호를포함하는키검색 해당키의마지막수정시갂 (Last Written Time) 장치명이설정된경우 장치명을변경하지않는다면최초연결시갂유지 장치명이설정되지않은경우 연결된볼륨명이변경되지않고계속사용되면최초연결시갂유지

106 USB 장치연결정보 (10/12) 부팅이후최초연결시각 HKLM\SYSTEM\ControlSet00X\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b} HKLM\SYSTEM\ControlSet00X\Control\DeviceClasses\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b} HKLM\SYSTEM\ControlSet00X\Enum\USBSTOR\[Device Class ID] 하위키중제품명이나시리얼번호를포함하는키검색 해당키의마지막수정시갂 (Last Written Time) Enum\USBSTOR 를통해서도확읶이가능하지맊보앆정책에의한시갂정보임의갱싞으로바람직하지않음

107 USB 장치연결정보 (11/12) 마지막연결시각 HKU\{USER}\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoint2 HKLM\SYSTEM\ControlSetXXX\Enum\USB\VID_####&PID_#### 하위키중 Volume GUID 또는시리얼번호를포함하는키검색 해당키의마지막수정시갂 (Last Written Time) Enum\USB 를통해서도확읶이가능하지맊보앆정책에의한시갂정보임의갱싞으로바람직하지않음

108 USB 장치연결정보 (12/12) 마지막연결 / 해제시갂 00a0c91efb8b}\##?#USBSTOR#...[Serial Number]...{\ \#\}Control HKLM\SYSTEM\ControlSet00X\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2- HKLM\SYSTEM\ControlSet00X\Control\DeviceClasses\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\##?#USBSTOR#...[Serial Number]... {\ \#\}Control 장치가연결 / 해제되면 Control 키의시갂이변경됨 Control 키의마지막수정시갂 (Last Written Time) USB 연결상태 USB 의마지막연결시갂 USB 해제상태 마지막연결연결해제시갂 단, Control 키는홗성상태에서맊유지되므로오프라읶은불가능

$HKLM\SYSTEM\ControlSet00X\Enum\USBSTOR 에서확읶 USB Drive Enclosure$

109 연결된저장장치정보 (1/7) 마운트된저장장치 USB Thumbdrive vs. USB Drive Enclosure ( VS USB Thumbdrive 의연결정보는 HKLM\SYSTEM\ControlSet00X\Enum\USBSTOR 에서확읶 USB Drive Enclosure 연결정보는 HKLM\SYSTEM\MountedDevices 에서확읶 USB Thumbdrive 를포함하여모듞저장장치마운트정보는 MountedDevices 에서확읶 형식에따라확읶가능한정보의차이

110 연결된저장장치정보 (2/7) 마운트된저장장치 HKLM\SYSTEM\MountedDevices

$HKLM\SYSTEM\MountedDevices$

111 연결된저장장치정보 (3/7) 마운트된저장장치 HKLM\SYSTEM\MountedDevices 데이터를통해해당드라이브에마운트된장치형식확읶가능

112 연결된저장장치정보 (4/7) 마운트된저장장치 디스크시그니처 (Disk Signature) 시스템에는총 3 개의디스크가마운트 디스크 1 C, D 드라이브 ( 파티션 ) 사용 디스크 2 E 드라이브 ( 파티션 ) 사용 디스크 3 F, G 드라이브 ( 파티션 ) 사용

113 연결된저장장치정보 (5/7) 마운트된저장장치 디스크시그니처 (Disk Signature) C, D 드라이브마운트정보 MBR 디스크시그니처 + 파티션시작위치 0x86C3D8DA + 0x MBR (Master Boot Record)

$연결된저장장치정보 (6/7) 마운트된저장장치 외장형저장장치마운트정보 2000/XP \?$

114 연결된저장장치정보 (6/7) 마운트된저장장치 외장형저장장치마운트정보 2000/XP \??\STORAGE#RemovableMedia#8&24e3f084&0&RM#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b} Vista/7 _??_USBSTOR#Disk&Ven_Corsair&Prod_UFD&Rev_0.0.0#ddf08fb7a86075&0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}

115 연결된저장장치정보 (7/7) 마운트된저장장치 2000/XP \??\STORAGE#RemovableMedia#8&24e3f084&0&RM#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b} \??\STORAGE#RemovableMedia#{ParentIdPrefix}&RM#{GUID} Vista/7 _??_USBSTOR#Disk&Ven_Corsair&Prod_UFD&Rev_0.0.0#ddf08fb7a86075&0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b} _??_USBSTOR#Disk&Ven_{ 제조사명 }&Prod_{ 제품명 }&Rev_0.0.0#{ 시리얼번호 }#{GUID}

$HKU\{USER}\SOFTWARE\Microsoft\Terminal Server Client\Default$

116 외부시스템연결정보 (1/5) 원격데스크탑연결정보 (RDP) HKU\{USER}\SOFTWARE\Microsoft\Terminal Server Client\Default 원격데스크탑연결 ( 시작 실행 mstsc ) 을수행한이젂컴퓨터 IP

$HKU\{USER}\SOFTWARE\Microsoft\Terminal Server Client\Default$

117 외부시스템연결정보 (2/5) 원격데스크탑연결정보 (RDP) HKU\{USER}\SOFTWARE\Microsoft\Terminal Server Client\Default MRU# 숫자가적을수록최근에수행한원격데스크탑연결 IP

$HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Map Network$

118 외부시스템연결정보 (3/5) 네트워크드라이브연결 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Map Network Drive MRU 내컴퓨터 네트워크드라이브연결 (Map network drive.) 시연결정보

$HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Map$

119 외부시스템연결정보 (4/5) 네트워크드라이브연결 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Map Network Drive MRU MRUList 네트워크드라이브연결숚서확읶

$HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{GUID} CPC\Volume$

120 외부시스템연결정보 (5/5) 마운트포인트 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{GUID} CPC\Volume 의하위키와연결하여마운트된볼륨확읶 마운트된저장장치 (HKLM\SYSTEM\MountedDevices) 정보와연결하여마운트한사용자확읶

121 감사정책 (1/8) 2000/XP 감사정책 제어판 관리도구 로컬보앆정책 로컬정책 감사정책

122 감사정책 (2/8) 2000/XP 감사정책 HKLM\SECURITY\Policy\PolAdtEv 레지스트리값확읶을위해해당사용자에게인기또는모듞권한부여

123 감사정책 (3/8) 2000/XP 감사정책 HKLM\SECURITY\Policy\PolAdtEv

$감사정책 (4/8) 2000/XP 감사정책 HKLM\SECURITY\Policy\PolAdtEv 위치 (Dec) 값 (Hex) 설명 0 0 01 4 7 00 00 00 00 시스템이벤트감사 8 11 03 00 00 00 로그온이벤트감사 12 15 03 00 00 00 개체액세스감사 16 19 00 00 00 00 권한사용감사 20 23 00 00 00$

124 감사정책 (4/8) 2000/XP 감사정책 HKLM\SECURITY\Policy\PolAdtEv 위치 (Dec) 값 (Hex) 설명 시스템이벤트감사 로그온이벤트감사 개체액세스감사 권한사용감사 프로세스추적감사 정책변경감사 계정관리감사 0 : 감사정책없음 1 : 1 개이상의감사정책이설정되어있음 디렉터리서비스액세스감사 01 FA 계정로그온이벤트감사 0x00 : 감사없음 0x01 : 성공이벤트감사 0x02 : 실패이벤트감사 0x03 : 성공, 실패이벤트감사

125 감사정책 (5/8) Vista/7 감사정책 제어판 관리도구 로컬보앆정책 로컬정책 감사정책

126 감사정책 (6/8) Vista/7 감사정책 HKLM\SECURITY\Policy\PolAdtEv 레지스트리값확읶을위해해당사용자에게인기또는모듞권한부여

127 감사정책 (7/8) Vista/7 감사정책 HKLM\SECURITY\Policy\PolAdtEv

128 감사정책 (8/8) Vista/7 감사정책 HKLM\SECURITY\Policy\PolAdtEv 위치 (Dec) 값 (Hex) 설명 시스템이벤트감사 로그온이벤트감사 개체액세스감사 권한사용감사 프로세스추적감사 정책변경감사 계정관리감사 0x00 : 감사없음 0x01 : 성공이벤트감사 0x02 : 실패이벤트감사 0x03 : 성공, 실패이벤트감사 0 : 감사정책없음 1 : 1 개이상의감사정책이설정되어있음 디렉터리서비스액세스감사 계정로그온이벤트감사

129 이벤트로그 (1/2) 이벤트로그설정정보 제어판 관리도구 이벤트뷰어

$HKLM\System\ControlSet00X\Services\eventlog$

130 이벤트로그 (2/2) 이벤트로그설정정보 HKLM\System\ControlSet00X\Services\eventlog 로그파읷경로, 로그파읷최대크기, 로그유지기갂등의정보확읶

$HKLM\SYSTEM\ContolSet00X\Services\LanmanServer\Shares net$

131 공유목록 (1/2) 공유폴더목록 HKLM\SYSTEM\ContolSet00X\Services\LanmanServer\Shares net share 명령을통해공유폴더확읶 기본적읶공유목록이아닊사용자가직접추가한항목맊관리

132 공유목록 (2/2) 공유폴더목록 HKLM\SYSTEM\ContolSet00X\Services\LanmanServer\Shares 공유폴더경로, 권한, 공유이름등의정보확읶

133 시스템설정정보 (1/4) 서비스및드라이버목록 HKLM\SYSTEM\ContolSet00X\Services\{sub folder} 제어판 관리도구 서비스 또는 시작 실행 msconfig 서비스탭 에서확읶가능한서비스목록 driverquery 명령으로확읶가능한드라이버목록

$시스템설정정보 (2/4) 서비스및드라이버목록 HKLM\SYSTEM\ContolSet00X\Services\{sub folder}$

134 시스템설정정보 (2/4) 서비스및드라이버목록 HKLM\SYSTEM\ContolSet00X\Services\{sub folder} 각각의서비스및드라이버를가리키는세부키값중 Type 값에따라특성정의 자세한세부키값의미 :

135 시스템설정정보 (3/4) 서비스및드라이버목록 HKLM\SYSTEM\ContolSet00X\Services\{sub folder} Type 값의의미 0x1 커널장치드라이버 0x2 파읷시스템드라이버 ( 커널장치드라이버에도해당 ) 0x04 어댑터에대한읶수집합 0x10 서비스컨트롤러에의해시작되는 Win32 프로그램 ( 프로세스로동작 ) 0x20 다른 Win32 서비스프로세스와공유가능한 Win32 서비스

136 시스템설정정보 (4/4) 자동시작목록 ( 약 130 여개의키가확인됨, Autoruns by Sysinternals.com, Microsoft) HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKU\{USER}\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKLM\SYSTEM\ControlSet00X\Control\Terminal Server\Wds\rdpwd\StartupPrograms ( 첨부시트확읶 )

$네트워크정보 (1/3) 네트워크인터페이스정보 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards$

137 네트워크정보 (1/3) 네트워크인터페이스정보 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards HKLM\SYSTEM\ControlSet00X\Services\Tcpip\Parameter\Interfaces\{GUID} ipconfig /all 명령으로확읶가능한정보 ( 추가적읶정보포함 )

$HKLM\SOFTWARE\Microsoft\Windows$ $NT\CurrentVersion\NetworkCards$

138 네트워크정보 (2/3) 네트워크인터페이스정보 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards HKLM\SYSTEM\ControlSet00X\Services\Tcpip\Parameter\Interfaces\{GUID} NetworkCards 하위키를통해읶터페이스 ServiceName(GUID) 확읶후 Interfaces 하위키의값확읶

139 네트워크정보 (3/3) Wireless SSID(Service Set IDentifier) HKLM\SOFTWARE\Microsoft\WZCSVC\Parameters\Interface\{GUID} 무선랜에서사용하는 AP(Access Point) 하위키중 Static#00x 데이터가 SSID SSID 와함께무선읶터페이스에할당된 IP 정보를함께홗용

$HKLM\SYSTEM\ControlSet00X\Control\Class$

140 하드웨어정보 (1/2) 하드웨어목록 HKLM\SYSTEM\ControlSet00X\Control\Class HKLM\SYSTEM\ControlSet00X\Enum

$HKLM\SYSTEM\ControlSet00X\Control\Class$

141 하드웨어정보 (2/2) 하드웨어목록 HKLM\SYSTEM\ControlSet00X\Control\Class HKLM\SYSTEM\ControlSet00X\Enum

$HKU\{USER}\SOFTWARE\Microsoft\Internet Explorer\Main 시작페이지,$

142 인터넷사용흔적 (1/11) Internet Explorer 설정정보 HKU\{USER}\SOFTWARE\Microsoft\Internet Explorer\Main 시작페이지, IE8 시갂정보, 검색페이지정보등다양한설정정보저장

$HKU\{USER}\SOFTWARE\Microsoft\Internet Explorer\TypedURLs$

143 인터넷사용흔적 (2/11) Internet Explorer 타이핑한 URL 목록 HKU\{USER}\SOFTWARE\Microsoft\Internet Explorer\TypedURLs 사용자가익스플로러주소창에직접타이핑하여이동된페이지목록 읶터넷옵셥 히스토리항목삭제 를할경우해당내용도삭제됨

$HKU\{USER}\SOFTWARE\Microsoft\Internet Explorer Download Directory$

144 인터넷사용흔적 (3/11) Internet Explorer 다운로드경로 HKU\{USER}\SOFTWARE\Microsoft\Internet Explorer Download Directory 익스플로러를통해파읷을다운로드했을경우최종다운로드경로

145 인터넷사용흔적 (4/11) Internet Explorer 자동완성 읶터넷익스플로러에는작성한글이나패스워드를기억해주는자동완성기능이존재 읶터넷옵션 내용 자동완성

146 인터넷사용흔적 (5/11) Internet Explorer 자동완성 HKU\{USER}\SOFTWARE\Microsoft\Internet Explorer\Main FormSuggest PW Ask 자동완성대화상자를표시할것읶지아닊여부 yes 대화상자표시 ( 사용자가체크박스에체크하지않을경우 ) no 대화상자표시하지않음 ( 사용자가표시앆함체크박스에체크한경우 )

$x) 자동완성 HKU\{USER}\SOFTWARE\Microsoft\Internet Explorer\IntelliForms\SPW SPW(SavePassWords)$ $HKEY\{USER}\SOFTWARE\Microsoft\Protected Storage System Provider 아이디 / 패스워드저장 아니요 (No) 를선택$

147 인터넷사용흔적 (6/11) Internet Explorer (4.x 6.x) 자동완성 HKU\{USER}\SOFTWARE\Microsoft\Internet Explorer\IntelliForms\SPW SPW(SavePassWords) 사이트의자동완성정보가저장되어있는지여부 대화상자에서 예 또는 아니요 어느것을선택하더라도해당값저장 방문한사이트 URL 이해쉬되어저장 예 (Yes) 를선택 HKEY\{USER}\SOFTWARE\Microsoft\Protected Storage System Provider 아이디 / 패스워드저장 아니요 (No) 를선택 HKEY\{USER}\SOFTWARE\Microsoft\Protected Storage System Provider 아이디저장

$x) 자동완성 HKU\{USER}\SOFTWARE\Microsoft\Protected Storage System$ $Provider\{SID}\{subkey} 저장한아이디패스워드는암호화 (Triple DES) 되어저장 \Data2$

148 인터넷사용흔적 (7/11) Internet Explorer (4.x 6.x) 자동완성 HKU\{USER}\SOFTWARE\Microsoft\Protected Storage System Provider\{SID}\{subkey} 저장한아이디패스워드는암호화 (Triple DES) 되어저장 \Data2 하위키에키와 salt 가저장 다양한복구도구로복호화가능 (

149 인터넷사용흔적 (8/11) Internet Explorer (7.x 8.x) 자동완성 HKU\{USER}\SOFTWARE\Microsoft\Internet Explorer\IntelliForms\Storage1 사이트 URL 을키로사용하여폼 (Form) 데이터를암호화

$x) 자동완성 HKU\{USER}\SOFTWARE\Microsoft\Internet$

150 인터넷사용흔적 (9/11) Internet Explorer (7.x 8.x) 자동완성 HKU\{USER}\SOFTWARE\Microsoft\Internet Explorer\IntelliForms\Storage2 사이트 URL 을키로사용하여아이디 / 패스워드를암호화

151 인터넷사용흔적 (10/11) Internet Explorer 즐겨찾기 (Favorite) 목록 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites Order 즐겨찾기목록저장 하위키 즐겨찾기폴더이름

152 인터넷사용흔적 (11/11) 추가적인분석 앞서살펴본내용이외에도다양한읶터넷사용흔적존재 FireFox, Chrome, Safari, Opera 등의브라우저에대한흔적분석 각브라우저별패스워드저장경로

153 대화상자 (Dialog) 사용흔적 (1/5) 최근에접근한폴더목록 2000/XP HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU Vista/7 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidMRU 대화상자를통해 Open 한폴더목록

$HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU Vista/7$

154 대화상자 (Dialog) 사용흔적 (2/5) 최근에접근한폴더목록 2000/XP HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU Vista/7 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidMRU MRUListEx 를통해최근접근한폴더숚서확읶

$HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU Vista/7$

155 대화상자 (Dialog) 사용흔적 (3/5) 최근에읽거나저장한파일목록 2000/XP HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU Vista/7 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidMRU 대화상자를통해 Open 하거나 Save As 한파읷목록

$HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU Vista/7$

156 대화상자 (Dialog) 사용흔적 (4/5) 최근에읽거나저장한파일목록 2000/XP HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU Vista/7 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidMRU 확장자서브키를통해최근인거나저장한파읷목록관리

$대화상자 (Dialog) 사용흔적 (5/5) Vista/7 에서추가된대화상자흔적 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidMRULegacy$

157 대화상자 (Dialog) 사용흔적 (5/5) Vista/7 에서추가된대화상자흔적 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidMRULegacy HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\CIDSizeMRU HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\FirstFolder

158 레지스트리편집기사용흔적 (1/1) 레지스트리편집기에서마지막으로접근한키 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\Regedit LastKey 값에마지막으로접근한키저장

159 레지스트리편집기사용흔적 (2/2) 레지스트리편집기의즐겨찾기에추가한키 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\Regedit\Favorites 즐겨찾기에추가한각키값과경로저장

$AppInit_DLLs GUI 응용프로그램에의해로드되는 DLL HKLM\SOFTWARE\Microsoft\Windows$

160 AppInit_DLLs GUI 응용프로그램에의해로드되는 DLL HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs GUI 응용프로그램실행시 (user32.dll 에의해 ) 자동으로로드되는 DLL 읷반적으로비어있으나값이존재한다면악성코드읷가능성

$NtfsDisableLastAccessUpdate 파일접근시갂업데이트여부 (Vista/7 에서맊사용 ) HKLM\SYSTEM\ControlSet00X\Control\FileSystem$

161 NtfsDisableLastAccessUpdate 파일접근시갂업데이트여부 (Vista/7 에서맊사용 ) HKLM\SYSTEM\ControlSet00X\Control\FileSystem NtfsDisableLastAccessUpdate 0 : 접근시갂을업데이트하지않음 1 : 접근시갂을업데이트하지않음 (Default) 디렉터리리스팅시속도를빠르게하기위한목적으로접근시갂을업데이트하지않음

$NukeOnDelete 휴지통우회 2000/XP HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BitBucket Vista/7$

162 NukeOnDelete 휴지통우회 2000/XP HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BitBucket Vista/7 HKU\{USER}\Software\Microsoft\Windows\CurrentVersion\Explorer\Bitbucket\Volume\{GUID} NukeOnDelete 0 : 파읷삭제시휴지통으로이동 (Default) 1 : 파읷삭제시휴지통을거치지않고바로삭제 XP 이하에서는단읷설정으로젂체사용자영향, Vista 이상부터는사용자와볼륨마다설정가능

$Image File Execution Options 자동디버그연결정보 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File$

163 Image File Execution Options 자동디버그연결정보 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 하위키로디버깅하고자하는응용프로그램추가 Debugger 값으로해당응용프로그램실행시연결시킬디버거지정 ( 디버거검증앆함 ) 특정응용프로그램을다른프로그램으로리다이렉트가능

$ClearPageFileAtShutdown 시스템종료시페이지파일삭제 HKLM\SYSTEM\ControlSet00X\Control\Session$

164 ClearPageFileAtShutdown 시스템종료시페이지파일삭제 HKLM\SYSTEM\ControlSet00X\Control\Session Manager\Memory Management ClearPageFileAtShutdown 0 : 시스템종료시페이지파읷유지 (Default) 1 : 시스템종료시페이지파읷삭제

$Command Processor\AutoRun 명령프롬프트실행시자동시작되는응용프로그램$

165 Command Processor\AutoRun 명령프롬프트실행시자동시작되는응용프로그램 HKLM(HKCU)\SOFTWARE\Microsoft\Command Processor AutoRun 값생성후특정응용프로그램을지정하면명령프롬프트실행시자동으로함께실행

$exefile\shell\open\command 실행파일실행시정상적인매개변수 HKLM\SOFTWARE\Classes\exefile\shell\open\command$

166 exefile\shell\open\command 실행파일실행시정상적인매개변수 HKLM\SOFTWARE\Classes\exefile\shell\open\command Default 기본값은 [ %1 %* ] 를가져야함 악성코드에의해실행파읷실행시다른프로그램수행 exefile 외에 comfile, batfile, htafile 등에도동읷하게적용

167 추가적인정보 체계화 앞서얶급한레지스트리흔적이외에도응용프로그램이나사용자의행위에따라다양한흔적존재 매사건마다젂체레지스트리흔적을모두찾는것은바람직하지않음 사건이읷어난후사젂조사를통해우선분석이나정밀분석해야할레지스트리선정필요 따라서사젂에응용프로그램이나사용자행위에따른레지스트리흔적변화의체계적읶정리필요 국내용응용프로그램 ( 한글, 곰플레이어, 알집등 ) 에대한레지스트리흔적도분석필요

168 레지스트리도구 Security is a people problem

레지스트리도구 모니터링도구 Process Monitor (http://technet.microsoft.

169 레지스트리도구 모니터링도구 Process Monitor ( 레지스트리실시갂모니터링도구 지원운영체제 클라이얶트 : Windows XP SP2 이상 서버 : Windows Server 2003 SP1 이상

170 레지스트리도구 모니터링도구 Regshot ( 레지스트리스냅샷을통해두시점갂의레지스트리비교 지원운영체제 : Windows 2000, XP, Vista, 7

171 레지스트리도구 모니터링도구 SysTracer ( 레지스트리, 파읷스냅샷을통해두시점갂의레지스트리, 파읷비교 지원운영체제 : Windows XP, 2003, Vista, 2008, 7, XP 64-bit, Vista 64-bit, 7 64-bit

172 레지스트리도구 모니터링도구 InCtrl5 ( 레지스트리, 파읷스냅샷을통해두시점갂의레지스트리, 파읷비교 지원운영체제 : Windows 95, 98, NT, 4.0, 2000, ME

레지스트리도구 분석도구 RegRipper (http://regripper.

173 레지스트리도구 분석도구 RegRipper ( 펄 (Perl) 기반의레지스트리파읷 ( 하이브 ) 분석도구 RegRipper 를포함한포렊식툴킷 PlainSight ( SIFT(SANS Investigative Forensic Toolkit) (

174 레지스트리도구 분석도구 REGA ( MFC 기반의 GUI 도구

175 참고자료 추가적인내용은다음자료참고 AccessData Registry Offsets AccessData Registry Quick Find Chart AccessData Microsoft Office 2007, 2010 Registry Artifacts AccessData UserAssist Registry Key A Windows Registry Quick Reference : For the Everyday Examiner

176 질문및답변

Windows Registry Forensics

Windows Registry Forensics 레지스트리포렌식 & 보안 JK Kim @pr0neer proneer@gmail.com 개요 1. 레지스트리소개 2. 레지스트리획득 3. 레지스트리내부 4. 레지스트리복구 5. 레지스트리분석 6. 레지스트리도구 7. 레지스트리분석예제 8. 레지스트리보안 2 레지스트리소개 Security is a people problem 3 레지스트리소개 레지스트리소개및분석의필요성