레지스트리포렌식 - Regripper 를이용한 NTUSER.DAT 분석 - 학과 사이버경찰학과 학번 이름 허인호 - 1 -

Similar documents
Studuino소프트웨어 설치

Slide 1

SBR-100S User Manual

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

JDK이클립스

<4D F736F F D D31312D30312D53572D30312DBBE7BFEBC0DABCB3B8EDBCAD5FBFDCBACEB9E8C6F7BFEB2E646F63>

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

JAVA 플랫폼 개발 환경 구축 및 활용

Internet Explorer 11 자동업데이트방지 사용자가이드 작성일 : Version 1.0

System Recovery 사용자 매뉴얼

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

PowerPoint 프레젠테이션

tiawPlot ac 사용방법

6. 설치가시작되는동안 USB 드라이버가자동으로로드됩니다. USB 드라이버가성공적으로로드되면 Setup is starting( 설치가시작되는중 )... 화면이표시됩니다. 7. 화면지침에따라 Windows 7 설치를완료합니다. 방법 2: 수정된 Windows 7 ISO

*2008년1월호진짜

NTD36HD Manual

Emulator

Microsoft PowerPoint SDK설치.HelloAndroid(1.5h).pptx

Windows 8에서 BioStar 1 설치하기

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

슬라이드 1

I. KeyToken USB 소개 1. KeyToken 개요 KeyToken 은공인인증서를안전하게저장하고또안전하게사용하기위한보안제품으로, 한국인터넷진흥원 (KISA) 이 KeyToken 의보안토큰에대한구현적합성을평가하고인증한 제품입니다. 2. KeyToken USB 그

Chapter 1

네이버블로그 :: 포스트내용 Print VMw are 에서 Linux 설치하기 (Centos 6.3, 리눅스 ) Linux 2013/02/23 22:52 /carrena/ VMware 에서 l

4S 1차년도 평가 발표자료

문서의 제목 나눔고딕B, 54pt

CODESYS 런타임 설치과정

Windows Server 2012

server name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지

ICAS CADWorx SPLM License 평가판설치가이드

SNU무선랜 인증서비스 변경

디럭스바이블 2005 설치가이드 ( 주 ) 미션소프트 TEL FAX 디럭스바이블 2005 설치가이드 DeluxeBible 2005

IRISCard Anywhere 5

Microsoft PowerPoint - XUSB_제품메뉴얼_140206

PowerPoint 프레젠테이션

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.

Cubase AI installation guide

Microsoft Word - src.doc

Mango-IMX6Q mfgtool을 이용한 이미지 Write하기

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

CPU 점유율이 100%시 대처방법

4. Compass 명령어를알아보자. compass <command> [<option>, <option>, <option>.. <option>] command : 명령어. clean - Remove generated files and the sass cache. com

Freecom Mobile Drive XXS 사용자에게! Freecom Mobile Drive XXS 외장형 하드 드라이브를 선택해 주셔서 감사합니다. 최 적의 사용과 성능을 위해 본 제품을 사용하기 전에 본 설명서를 주의 깊게 읽을 것 을 권합니다. Freecom T

슬라이드 1

Keil Flexlm 라이선스 설명서

B.3 JDBC 설치 JDBC Java DataBase Connectivity 는자바에서 DBMS의종류에상관없이일관된방법으로 SQL을수행할수있도록해주는자바 API Application Program Interface 다. 이책에서는톰캣과 SQL Server 간의연결을위

F120L(JB)_UG_V1.0_ indd

Microsoft PowerPoint - 안드로이드 개발 환경 구축(170411)

Mango-E-Toi Board Developer Manual

TOOLS Software Installation Guide

01장

Install stm32cubemx and st-link utility

ActFax 4.31 Local Privilege Escalation Exploit

한국에너지기술연구원 통합정보시스템설치방법설명서 한국에너지기술연구원 지식정보실 - 1 -

AcronisUniversalRestore_userguide_en-US

PowerPoint 프레젠테이션

PowerPoint Template

1. 자바프로그램기초 및개발환경 2 장 & 3 장. 자바개발도구 충남대학교 컴퓨터공학과

Microsoft Word - Korean_뷰어 메뉴얼_공용_ADVR&SWi_.doc

CAM Basic 2 (V23)

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

게시판 스팸 실시간 차단 시스템

<B1E2C3E2B9AEC1A620BDC3B9C4B7B9C0CCBCC7204D B3BBB7C1B9DEB1E2BFCD20BCB3C4A1C7CFB1E E687770>

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]

Microsoft Word - installation_ML_Incheon_Student

- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 보안패치는어떻게하나요? 3 Q5. 보안패치가됐는지어떻게확인하나요? 5 Q6. 스마트폰도랜섬웨

슬라이드 제목 없음

<4D F736F F F696E74202D F FB8CAC0AFBCB3C4A1B8C5B4BABEF35F36BFF937C0CF5FC0A5BFEB2E707074>

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

슬라이드 1

PowerPoint 프레젠테이션

Title Here

Lab-Buildamatrix Copyright 2018 document created by Introduction PDF 파일다운로드 Machin Learning의두번째랩은 Pandas와 Numpy를활용하여 Rating M

PathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.

문서의 제목 나눔고딕B, 54pt

Endpoint Protector - Active Directory Deployment Guide

Splentec V-WORM Quick Installation Guide Version: 1.0 Contact Information 올리브텍 주소 : 경기도성남시분당구구미로 11 ( 포인트타운 701호 ) URL: E-M

2 카메라의 펌웨어버전을확인합니다 카메라기종에따라표시되는화면이다를수있습니다. 1 카메라의전원을 ON으로합니다. 2 카메라의메뉴버튼 MENU을누르고메뉴화면을표시합니다. 3 [ 설정메뉴 ] 에서 [ 펌웨어버전 ] 를선택합니다. 4 카메라의 펌웨어버전이표시됩니다. 버전이업그

Microsoft Word - Armjtag_문서1.doc

목차 백업 계정 서비스 이용 안내...3 * 권장 백업 정책...3 * 넷하드(100G 백업) 계정 서버로 백업하는 2가지 방법...3 * 백업서버 이용시 주의사항...3 WINDOWS 서버 사용자를 위한 백업서비스 이용 방법 네트워크 드라이브에 접속하여

Xcovery 사용설명서

해외전자정보서비스이용교육 EBSCO ebooks - 인터페이스상세이용방법및다운로드 ( 대출모드 ) 안내

PowerPoint 프레젠테이션

경우 1) 80GB( 원본 ) => 2TB( 복사본 ), 원본 80GB 는 MBR 로디스크초기화하고 NTFS 로포맷한경우 복사본 HDD 도 MBR 로디스크초기화되고 80GB 만큼포맷되고나머지영역 (80GB~ 나머지부분 ) 은할당되지않음 으로나온다. A. Window P

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

나. NAS 기본정보 1) NAS IP : XX ( 정보화지원실에서각부서별로알려드릴예정입니다.) 2) NAS 접속 ID : MySNU ID와동일합니다. 3) NAS 접속초기비밀번호 : 이름 * 전화번호 ex) 김공대 *7429 무조건필수로변경해주시기바

SIGIL 완벽입문

슬라이드 1

컴퓨터에서 크메르어(캄보디아어)를 입력하는 방법

온라인등록용 메뉴얼

웹탐색기매뉴얼목차. 웹탐색기 웹탐색기란?... 4 ) 웹탐색기화면 (Java 기반 )... 4 ) 웹탐색기화면 (ActiveX 기반 ) 웹탐색기접속방법 화면구성 Java 기반웹탐색기 ActiveX 기반웹탐색기...

Microsoft Word - 세종대_MATLAB_설치 가이드_17y_a

Microsoft Word - release note-VRRP_Korean.doc

Discrete Mathematics

메인 메뉴 윗쪽 패널에 있는 프로그램 메뉴나 위치 메뉴를 메인 메뉴라고 부릅니다. -프로그램 메뉴: 현재 자신의 리눅스에 설치된 프로그램을 볼 수 있습니다. 오픈오피스나 메신저, DVD보기 프로그램 같은 것들이 등록되며 시스템에 설치된 코덱이나 라이브러리까지 보시려면

복구천사 매뉴얼

슬라이드 1

PowerPoint 프레젠테이션

Transcription:

레지스트리포렌식 - Regripper 를이용한 NTUSER.DAT 분석 - 학과 사이버경찰학과 학번 10141322 이름 허인호 - 1 -

목차 1. 레지스트리란? 2. NTUSER.DAT 란? 3. Reg Ripper 란? 4. Reg Ripper 실습가. NTUSER.DAT를찾아라나. NTUSER.DAT를복사하자 1) 사용자계정을이용한 NTUSER 복사 2) forecopy를이요한 NTUSER 복사다. NTUSER.DAT를이용해내용출력 5. 참조 - 2 -

사진 그림 2 ------------------- P.4 REGRIPPER 구글검색그림 3 ------------------- P.4 Regripper github에서받는법그림 4 ------------------- p.5 regripper 설치완료그림 5 ------------------- p.5 regripper 압축해제그림 6 ------------------- p.6 c 드라이브에서사용자폴더들어가기그림 7 ------------------- p.7 사용자폴더에서현재사용하는계정폴더들어가기그림 8 ------------------- p.8 폴더의보기 -> 옵션클릭그림 9 ------------------- p.8 폴더의보기옵션변경그림 10 ------------------ p.9 NTUSER.DAT 발견그림 11 ------------------ p.10 제어판의 ' 사용자계정 ' 들어가기그림 12 ------------------ p.10 사용자계정에서 ' 다른계정관리 ' 들어가기그림 13 ------------------ p.11 다른계정관리에서 ' 새계정만들기 ' 그림 14 ------------------ p.11 새계정생성 - 3 -

그림 15 ------------------ p.12 다른계정으로원래계정폴더들어가기그림 16 ------------------ p.12 NTUSER.DAT 복사그림 17 ------------------ p.13 forecopy_handy 파일이있는폴더로이동그림 18 ------------------ p.14 옵션들보기그림 19 ------------------ p.14 폴더복사하기그림 20 ------------------ p 15 폴더복사확인그림 21 ------------------ p.16 regripper 가있는폴더로이동그림 22 ------------------ p.16 regripper 를써서 ntuser.dat 에있는파일추출 - 4 -

1. 레지스트리란? 시스템하드웨어, 설치된프로그램및설정, 컴퓨터에있는각사용자계정의프로필등에대한중요한정보가포함된 windows의데이터베이스를뜻하며, windows에서는이러한레지스트리의정보를지속적으로참조하고있습니다. 2. NTUSER.DAT 란? windows의데이터베이스인레지스트리중에서 HKEY_USERS 하위트리에존재하는각유저들마다의한행동, 결과등을저장하는 1) 하이브파일이다. 각유저들마다의한행동이기록되는파일이기때문에 C드라이브 -> 사용자 (Users) 폴더의각계정폴더마다존재한다. 1) 하이브파일 : 하이브파일은레지스트리의키, 서브키, 논리적값에해당하는파일의데이터를백업해주는논리적그룹이다. - 5 -

3. Reggripper 란? Windows Forensic Analysis 의저자인 할렌카비 선생님이 Perl 언어를이용해만든레지스트리분석기로, GUI(rr.exe), CLI(rip.exe) 두가지사용방법이존재합니다. 그리고다양한플러그인이존재하여, 플러그인파일을이용해레지스트리파일에존재하는자신이원하는내용만뽑아낼수도있습니다. - 설치방법 그림 2 REGRIPPER 구글검색 구글에들어가 regripper 를겁색합니다. 그림 3 Regripper github 에서받는법 GitHub 라는사이트를클릭하면위와같은창이뜨는대, 오른쪽 상단의 Download ZIP 라는것을눌려압축파일로다운로드 합니다. - 6 -

그림 4 regripper 설치완료 다운로드에성공하면위와같은파일이존재하는걸알수있고, 압축을해제합니다. 그림 5 regripper 압축해제 압축을풀고, 폴더에들어가면위와같은상황을볼수있는대, rip 가 ( 2) CLI) rr( 3) GUI) 중하나를실행시켜사용하시면됩니다. 2) CLI(Command Line interface) : 명령어인터페이스라고도하며, 텍스트터미널을통해사용자와컴퓨터가상호작용하는방식 3) GUI(Graphical User Interface) : 현재우리가사용하고있는 OS 의인터페이스로, 눈에확띄어무엇을하는지볼수있고, 조작방식이간편하다. - 7 -

4.Regripper 사용방법 가. NTUSER.DAT 를찾아라 (1). 각 User 폴더들어가기 C 드라이브 -> USER( 사용자 ) -> 자신의계정아이디폴더 사용자폴더에서자신이현재사용하고있는계정폴더에들어가기 C 드라이브에서사용자폴더들어가기 그림 6 c 드라이브에서사용자폴더들어가기 - 8 -

그림 7 사용자폴더에서현재사용하는계정폴더들어가기 원래라면계정폴더에들어가면 NTUSER.DAT 가존재해야하지만, 위사진처럼현재는보이지않는다. - 9 -

(2) NTUSER.DAT 가보이게폴더옵션변경하기 윈 8.1 : 폴더상단이보기탭클릭 그림 8 폴더의보기 -> 옵션클릭 옵션클릭 그림 9 폴더의보기옵션변경 폴더보기탭 -> 보호된운영체제파일숨기기 ( 권장 ) 체크해제숨김파일및폴더에숨김파일, 폴더및드라이브표시클릭 -> 적용및확인 - 10 -

그림 10 NTUSER.DAT 발견 그렇게설정을해주면맨아래새로운파일들이생기고, NTUSER.DAT 가생긴것을확인가능하다. - 11 -

나. NTUSER.DAT를복사하자 (1) 관리자계정을생성해서복사 1) 복사를하는이유는원래계정에서복사를하려고하면이미사용중이기때문에복사를할수없고,Regripper 에서도열수없는것같기때문에, 복사본을추출해, 복사본을가지고데이터를추출해야하기때문입니다. 2) 제어판 -> 사용자계정 -> 다른계정관리 -> 새계정만들기 -> 이름및관리자권한설정 그림 11 제어판의 사용자계정 들어가기 그림 12 사용자계정에서 다른계정관리 들어가기 - 12 -

그림 13 다른계정관리에서 ' 새계정만들기 ' 그림 14 새계정생성 - 13 -

(3) 재부팅 -> 방금만든계정으로로그인 -> C드라이브사용자폴더에원래계정폴더로접속 ->NTUSER.DAT 복사 -> 외장하드 or 이동식드라이브에이동 그림 15 다른계정으로원래계정폴더들어가기 그림 16 NTUSER.DAT 복사 - 14 -

(2) forecopy를이용한복사 1) forecopy 란? FORENSIC-PROOF 블로그의관리자인 proneer 이란분이만든프로그램으로, 쉽게복사되지않는, 파일시스템메타데이터, 이벤트로그, 페이지파일등을원본의시간정보가변경되지않게복사를할수있게끔만들프로그램이다. 2) 사용방법아래참조에있는설치주소로가서, 파일명을클릭해다운로드받는다. 압축파일로다운로드되는대, 압축을푼다. 압축을해제하면폴더에 forecopy_handy 라는실행파일이존재할것입니다. 관리자권한을이용하여명령프롬프트를열어주시 고, forecopy_handy 파일이있는폴더로이동합 니다. 그림 17 forecopy_handy 파일이있는폴더로이동 - 15 -

그림 18 파일실행뒤옵션 파일을실행시켜보면사용가능한옵 들이나열됩니다. 저는여기서 d 옵션을사용해계정폴더를복사해올것입니다. 션 그림 19 폴더복사하기 - 16 -

forecopy_handy d c:\users\hih c: 를입력 forecopy_handy : 파일을실행하기위해파일의이름을적는것 -d :forecopy_handy 의폴더를옮기기위해사용하는옵션 c:\users\hih : 복사할폴더 c: : 저장할폴더 위명령어를입력해주면, 제가지정해준 C 드라 이브폴더가복사된것을확인가능합니다. 그림 20-17 -

다. Regripper 를이용한 Recentdocs 출력하기 1) 좀더정확한정보출력을위해 CLI 를이용할것이기때문에 층 cmd 를관리자권한으로켜줍니다. 2) regripper 폴더로경로를이동합니다. 그림 21 regripper 가있는폴더로이동 3) rip r NTUSER.DAT 경로 p recentdocs > docs.txt 그림 22 -r : 레지스트리파일정해주는옵션 -p : 어떤플로그인을사용할것인지옵션 > 파일이름 : 어떤파일에결과값을담아서출력할지결정해준다. (4 regripper 가있는폴더에가보면자기가지정해준파일이름이존재할것이며, 거기에추출된내용이담겨있을것입니다. 이상으로 REGRIPPER 를이용한레지스트리포렌식을마 치겠습니다. - 18 -

참조 https://namu.wiki/w/gui : 나무위키 GUI http://forensic-proof.com/archives/3599 : forecopy 사 용법 http://code.google.com/p/proneer/downloads/list : forecopy 다운로드장소 - 19 -

2024 © docsplayer.org 개인정보보호 | 약관 | 지원