윈도우포렌식개요 1
윈도우포렌식개요 윈도우포렌식개요 - 전세계적으로 70% 이상사용하는운영체제이다. - 윈도우시스템을사용하면서남는아티팩트를이용하여다음과같은내용을분석한다. 파일유출불법다운로드문서조작지정매체연결흔적 윈도우포렌식범위 - 레지스트리, 웹브라우저, $MFT, 휴지통, 프리패치, 웹로그, 쉘백 - 점프리스트, 링크파일, 메모리파일, 스케쥴러 - 이벤트로그, 썸네일, 아이콘캐시, 서비스 레지스트리 - 운영체제와응용프로그램운영에필요한정보를저장하기위한계층형데이터베이스 - 부팅과정, 로그인, 서비스실행, 응용프로그램실행, 사용자행위와관련된모든것들을기록하여관리함 - 이때, 레지스트리정보는하이브파일로관리한다.
레지스트리 3
레지스트리 레지스트리분석필요성 - 시스템정보와사용자다양한정보를확인할수있다. - 최근열람한문서파일목록, 실행파일목록, 시스템정보등을확인할수있다. - 레지스트리확인명령어 : Ctrl+R -> regedit 명령실행 레지스트리구성 (Root Key 구성 ) - HKEY CLASS ROOT : 파일연관성과 COM 정보 - HKEY CURRENT USER : 현재시스템에로그인된사용자정보 - HKEY LOCAL MACHINE : 시스템하드웨어및소프트웨어정보 - HKEY USERS : 모든사용자정보 - HKEY CURRENT CONFIG : 시스템시작시사용되는하드웨어정보
레지스트리 레지스트리분석시중요정보 - HKEY CURRENT USER, HKEY LOCAL MACHINE - HKEY LOCAL MACHINE 은다음경로에다시하위하이브파일로구성된다. C:\Windows\System32\config SAM 파일 : 로컬계정정보와그룹정보 SECURITY : 시스템보안정책과권한할당정보 SOFTWARE : 시스템부팅에필요없는시스템전역구성정보 SYSTEM : 시스템부팅에필요한전역구성정보 C:\Windows\System32\config\systemprofile ntuser.dat 파일 : 사용자프로파일정보 - 위의 5 개의파일은실제분석시필요한레지스트리의하이브파일이다.
레지스트리 레지스트리수집 - 다음경로가면연결된하이브목록을확인할수있다. - 일반적으로레지스트리파일은커널에서열려있기때문에직접분석하거나이미지에서수집하여분석한다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist
레지스트리 시스템정보 - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion - OS 설치날짜 / 시간, OS 버전, 컴퓨터이름, 그룹이름, 운영체제설치경로확인가능 설치된프로그램정보 - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall - 설치된프로그램이름, 버전, 게시자, 설치날짜 / 시간, 설치경로확인가능 컴퓨터이름 - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ComputerName - 컴퓨터이름확인가능 SID 정보 - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList - 계정에대한보안식별자 ( 권한관련정보를담고있는 ID) 정보확인가능
레지스트리 사용자계정기본폴더 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 마지막로그인한사용자정보 - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 시스템마지막종료시간 - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Windows 표준시간대 - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\TimeZoneInformation 이벤트로그정보 - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\eventlog
레지스트리 응용프로그램사용흔적 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist - {CE ~ : 실행시킨응용프로그램정보 - {F4 ~ : 시작메뉴에저장되어있으며, 실행시킨응용프로그램정보 그림판으로열어본파일흔적 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Paint \Recent File List - File 번호 : 번호가낮을수록최근에열어본파일 워드패드로열어본파일흔적 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Wordpad \Recent File List - File 번호 : 번호가낮을수록최근에열어본파일
레지스트리 MS 오피스사용흔적 - HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Excel\File MRU - HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\PowerPoint\File MRU - HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Word\File MRU 한글사용흔적 - HKEY_CURRENT_USER\Software\HNC\Hwp\8.0\HwpFrame\RecentFile 곰플레이어사용흔적 - HKEY_CURRENT_USER\Software\GRETECH\GomPlayer\OPTION - 마지막접근폴더및파일정보확인가능 PDF(Adobe) 사용흔적 - HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\11.0\AVGeneral\cRecentFiles
레지스트리 검색기를이용한키워드사용흔적 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer \WordWheelQuery 최근열어본파일흔적 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs 최근실행창에실행 / 검색한명령흔적 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU 저장매체연결흔적 - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR - C:\Windows\inf\setupapi.dev.log - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses - HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices
레지스트리 외부시스템연결정보 ( 원격데스트탑 mstsc 를이용하여접속할경우정보저장 ) - HKEY_USERS\S-1-5-21-2128383417-2113153026-2455313902-500\Software\Microsoft \Terminal Server Client\Default 사용한프로그램의창제목 - HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft \Windows\Shell\MuiCache 알림영역아이콘 - HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft \Windows\CurrentVersion\TrayNotify 작업표시줄고정리스트정보 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Taskband
레지스트리 탐색기주소창에입력한경로리스트 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths 최근읽기또는저장한파일흔적 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer \ComDlg32\OpenSavePidlMRU 최근에접근한폴더흔적 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer \ComDlg32\LastVisitedPidlMRU
레지스트리 서비스및드라이버목록 - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services 네트워크카드관련정보 - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards 네트워크정보관련 - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Tcpip\Parameters\Interfaces 무선랜관련정보 - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList \Profiles
레지스트리 IE 다운로드디렉토리및설정정보 - HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer - HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 타이핑한 URL 목록 - HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs 즐겨찾기목록 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder \Favorites\Links 응용프로그램호환성캐시 ( 호환성문제가발생했던응용프로그램정보저장 ) - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager \AppCompatCache
레지스트리 부팅시자동실행되는소프트웨어정보 - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon \shell - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion \Run - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup - C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs \Startup 명령프롬프트실행시자동으로시작되는소프트웨어정보 - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor 레지스트리편집기에서마지막으로접근한키에대한정보 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit
레지스트리 ROT13 디코딩 인코드디코드 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 인코드디코드 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist \{F4E57C4B-2036-45F0-A9AB-443BCFE33D9F}\Count P:\Hfre\Choyvp\Qrfxgbc\Jverfunex.yax C:\User\Public\Desktop\Wireshark.lnk
레지스트리 REGA 도구
웹브라우저 19
웹브라우저 웹브라우저 - 웹서버와클라이언트간에 HTML 문서파일을동기화하고출력하는응용프로그램 - 웹브라우저를통하여사용자는다양한정보를인터넷으로부터제공받음 - 또한, 디지털포렌식과정에서아티팩트수집및분석으로용이함 웹브라우저포렌식 - 사용자가웹브라우저를이용하여남긴아티백트분석 웹브라우저를통하여획득할수있는정보 - Cache 정보 : 방문사이트접속시자동으로받는정보 - History 정보 : 사용자가방문한웹사이트주소정보 - Cookie 정보 : 웹사이트에서사용자의 HDD 에저장한사용자데이터 - Download 정보 : 사용자가웹브라우저를통해서받은파일정보
웹브라우저 IE 웹브라우저 - IE 9 버전과 IE 10 버전은정보를저장하는방식이다르다. - IE 9 버전이하는각각의파일로관리하였지만, IE 10 버전부터는하나의파일로저장 버전정보위치 9 이하 Cache History Cookie Download AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\<Random>\ AppData\Local\Microsoft\Windows\History.IE5\index.dat AppData\Local\Microsoft\Windows\History.IE5\index.dat < 기간 >\index.dat AppData\Roaming\Microsoft\Windows\Cookies\index.dat AppData\Roaming\Microsoft\Windows\Cookies\low AppData\Roaming\Microsoft\Windows\IEDownloadHistory\index.dat 버전정보위치 Cache 10 이상 History Cookie Download AppData\Local\Microsoft\Windows\WebCache\WebCacheV*.dat
웹브라우저 FireFox 웹브라우저 - 다양한플러그인을지원하는넷스케이프브라우저 - 기본적으로 Active X 를지원하지않는다. - IE 와다르게 sqlite3 포멧을사용하여정보저장 - <Random> 은프로파일을수정하여지정가능 정보 Cache History Cookie Download 위치 AppData\LocalMozilla\Firefix\Profiles\<Random>\Cache\_CACHE_MAP_ ( 같은폴더안의모든파일필요 ) AppData\Roaming\Mozilla\Firefox\Profiles\<Random>.default\places.sqlite AppData\Roaming\Mozilla\Firefox\Profiles\<Random>.default\cookies.sqlite AppData\Roaming\Mozilla\Firefox\Profiles\<Random>.default\places.sqlite
웹브라우저 Chrome 웹브라우저 - 전세계적점유율 1 위웹브라우저 - 빠른속도를지원하며 CPU 부하가적음 - 안정성및보안성, 효율적인인터페이스제공 정보 Cache History Cookie Download Typing URL New Tab 위치 AppData\Local\Google\Chrome\User Data\Default\Cache\ AppData\Local\Google\Chrome\User Data\Default\History AppData\Local\Google\Chrome\User Data\Default\Cookies AppData\Local\Google\Chrome\User Data\Default\History AppData\Local\Google\Chrome\User Data\Default\Shortcuts AppData\Local\Google\Chrome\User Data\Default\Top Sites
$MFT 24
$MFT $MFT(Master File Table) - $MFT 에는특정파일에대한메타데이터정보를저장하고있다. - 이를통해서파일생성, 수정, 삭제시간정보들을확인할수있다. - 시스템파일로다른 PC 에연결하여 $MFT 를추출하거나, 이미지로생성하여추출한다. - %ROOT% 안에저장되어있다. - 분석시에는 NTFS Log Tracker 도구를이용하며, $LogFile 파일도같이파싱해야한다.
Recycle.bin 26
Recycle.bin Recycle.bin - 윈도우에서파일을삭제할경우, 기본적으로휴지통으로다음과같이휴지통으로이동한다.
Recycle.bin Recycle.bin - 기본폴더가제공되며, 사용자별폴더도제공된다. 운영체제기본파일시스템휴지통폴더 Windows NT/2K/XP NTFS C:\Recycle\<USER SID>\ Windows7 이후 NTFS C:\Recycle.Bin\<USER SID>\
Recycle.bin Recycle.Bin - 파일삭제시 $R, $I 으로시작하는파일이생성됨 - $R 은실제삭제된데이터를의미함 - $I 는 $R 에대한경로, 파일사이즈, 삭제시간정보를저장하고있음 ] - 다음은 $I 파일구조이다. Offset Size 내용 0~7 8Byte 파일헤더정보 8~15 8Byte 원본파일크기정보 16~23 8Byte 삭제된파일시간 24~543 520Byte 원본파일경로
Recycle.bin Recycle.Bin - $INS7GYR.db 파일 - 파일크기 : 0x08F000 = 585728Byte - 삭제시간 : 01 D1 5C 61 BA B9 15 90 -> Mon, 01 February 2016 04:58:18 +0900 - 원본경로 : C:\users\Charlotte\AppData\Roaming\Skype\live ~~~~
Thumbnail 31
Thumbnail Thumbnail - 윈도우폴더미리보기기능에사용 - 초기방문시섬네일을저장하고재방문시저장된데이터를보여준다. ( 속도향상 ) - 한번저장된섬네일은원본이삭제되어도섬네일파일은남게됨 - Windows7 이후부터는 Thumbcache_ 번호.db 파일로관리한다. ( 번호 : 픽셀크기, Ex : 32x32) - 섬네일지원파일 : JPEG, BMP, GIF, TFTP, DOCX, PPTX, PDF... - 저장위치 : C:\Users\Administrator\AppData\Local\Microsoft\Windows\Explorer
Thumbnail Thumbnail - 도구 : ThumbCache Viewer - thumbcache_32.db 파일확인
IconCache 34
IconCache IconCache - 외부저장장치및광학드라이브사용흔적확인가능 - 안티포렌식도구사용흔적확인가능 - 악성코드흔적확인가능 - 프로그램사용흔적가능 ( 프로그램이삭제되어도아이콘정보는남음 ) - 저장위치 : C:\Users\Administrator\AppData\Local
IconCache IconCache - 도구 : IconCacheViewer v1.0.1 - IconCache.db 파일확인
Event Logs 37
Event Logs Events Logs - 운영체제에서발생하는내용들을타임스템프정보와함께기록함 - 응용프로그램, 보안, Setup, 시스템별로기록및관리함 - 이벤트로그저장위치 : C:\Windows\System32\winevt\Logs