제 10 장윈도우시스템조사 박종혁교수 Tel: 970-6702 Email: jhpark1@snut.ac.kr ac kr
개요 학습목표 윈도우시스템의휘발성데이터, 환경설정에관련된레지스트리, 네트워크설정및사용현황에관한정보, 인터넷서핑기록을알수있는웹브라우저, 인터넷메신저의정보수집에대해학습한다. 학습내용 윈도우레지스트리 네트워크정보 웹브라우저 인터넷메신저
목차 1. 윈도우레지스트리 2. 네트워크정보 3. 웹브라우저 4. 인터넷메신저
윈도우레지스트리 레지스트리소개 레지스트리는마이크로소프트윈도우 95 이후버전에서도입된환경설정에관한일종의데이터베이스 운영체제및응용프로그램운영에필요한정보를저장및관리 부팅과정에서사용되는정보, 로그인, 서비스실행, 응용프로그램실행, 사용자실행등 파일시스템의구성요소와유사 모든값 (Value) 은키내에위치하며, 키들은계층형구조
윈도우레지스트리 레지스트리는디스크상에서 하이브 (Hive)" 로불리는분리된파일로존재 윈도우부팅과정에서메모리에적재되어관리 레지스트리정보를디스크에저장한바이너리파일 시스템이로그온되면시스템커널프로그램에의해관리 하이브파일의목록 하이브파일이름윈도우레지스트리경로저장정보 HKEY_USER.DEFAULT Default 사용자계정이생성될때, 기본적으로필요한정보를저장한다. KKEY_LOCAL_MACHINE SOFTWARE Software 응용프로그램정보 HKEY_LOCAL_MACHINE SAM Sam 사용자계정정보저장 HKEY_LOCAL_MACHINE SECURITY Security 감사정책및권한정보저장 HKEY_LOCAL_MACHINE SYSTEM System 하드웨어드라이버및구성정보 HKEY_USERS Ntuser.dat( 각계정마다하나씩별도 ) 사용자계정에설정된정보저장
윈도우레지스트리 HKEY_LOCAL_MACHINE\SYSTEM\CurrentContolSet\Control\hive list 경로에각각에해당하는하이브파일의위치정보가저장 포렌식조사를위해서는레지스트리의위치정보를숙지 디지털포렌식조사관점에서레지스트리는사용자의활동정보나응용프로그램사용흔적, 설치된하드웨어및소프트웨어정보, 네트워크설정정보와같은많은디지털증거를수집할수있는포렌식자원 각각의키에마지막수정시각 (Last Written Time) 이기록되어있기때문에일종의로그로써활용
레지스트리포렌식분석 설치된프로그램목록 HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windo ws CurrentVersion UnInstall 경로에설치된프로그램의이름, 버전, 게시자, 설치시각, 설치위치, 소스경로가저장
레지스트리포렌식분석 하위키는설치된응용프로그램의목록 (SID로표시 ) 을가리키고, 값에설치된프로그램정보가저장 프로그램추가ㆍ삭제목록을조사하여사용자가의도하지않은특정프로그램이설치되어있는지조사하고, 해당프로그램이정상적인프로그램인지를확인 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVer USER\Software\Microsoft\Windows\CurrentVer sion\explorer\userassist\{5e6ab780-7743-11cf-a12b- 00AA004AE837}\Count 실행한프로그램의경로와실행유형, 실행횟수, 최종실행시간이저장 값의이름이 ROT13(Caesar cipher) 으로암호화 ROT13 은 Rotate by 13 places 의줄임말로간단한치환암호
레지스트리포렌식분석 실행횟수의시작값은 5 마지막실행시각은 FILETIME 형식으로저장 이값을조사하여의심스러운시간대에특정파일이실행되었는지유무를확인 특히이항목들은악의적인프로그램을삭제한후에도레지스트리에남아있기때문에중요한증거로사용될수있다.
레지스트리포렌식분석 한글 2007 HKEY_CURRENT_USER\Software\ HNC\Hwp\7.0\HwpFrame\Re centfile 최근사용한문서의목록이최대 10개까지저장
레지스트리포렌식분석 마이크로소프트오피스 2007 최근접근문서가최대 50 개까지저장 마이크로소프트오피스엑셀, 파워포인트, 워드프로세스가모두동일 item 0 가최근에사용한문서 HKEY_CURRENT_USER\Software\Microsoft\Office\12.0 \{Excel PowerPoint Word}\File MRU 최근사용한문서의정보가저장
레지스트리포렌식분석 USB(Universal Serial Bus) 에장치를연결하면관련드라이버정보등이레지스트리에저장 HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Enum\USBSTOR 해당시스템에연결된적이있는모든 USB 저장장치의생산자와 ID 값등이기록
레지스트리포렌식분석 {Device Type}&Ven_{Vendor String}&Prod_{Product String}&Rev_{Version Information} Device Type 은해당장치의종류 Vendor String에는제조사 Product String에는제품이름 Version Information 에는제품버전 선택된키는해당장치의 Unique Instance ID 해당값은다른시스템에연결될때도같은값으로나타나기때문에, USB 저장장치를특정할수있다. 일부에해당값이없는경우가존재 이경우윈도우시스템의 PnP Manager가자동으로 Prefix 값을할당 동일한 USB 저장장치라할지라도다른시스템에연결될때, 서로다른 해당되는 USB 저장장치를특정할수는없다.
레지스트리포렌식분석 HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer RecentDocs 하위키는확장자별로구분하여사용된문서정보를저장 해당값은유니코드로저장
레지스트리포렌식분석 인터넷익스플로러 (Internet Explorer) 웹브라우저주소창에기록하는주소목록 HKEY_CURRENT_USER\Software\Microsoft\Internet USER\S \Mi f \I Explorer\TypedURLs 사용자가자주접속하는웹페이지, 주제, 키워드등을 인터넷익스플로러 7 버전부터는해당경로에기록하지않음
레지스트리포렌식분석 윈도우의실행창을통해서입력된명령어목록 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVer sion\explorer\runmru 실행한순서는 MRUList(Most Recent Used List) 값 이값은가장최근에사용된명령어순서로값정보를저장한배열 b 가가장먼저실행되었고, c, a, d, e, f 순서로실행되었음을의미
네트워크정보 네트워크장치는주로사용되는이더넷 (Ethernet) 카드, IEEE 802.11x 를지원하는무선접속단말기등을의미 해당시스템에연결된모든네트워크장치에할당된 IP 정보, MAC 주소, 하드웨어 ID 등을조사하여어떤주소로통신을송수신했는지파악할필요이정보를활용하여추후침입탐지사례를조사할경우, 보다정확한재구성가능
네트워크정보 네트워크테이블 라우팅 (Routing) 테이블 : IP 정보를저장 ARP(Address Resolution Protocol) 테이블 : MAC 주소를저장 ARP 스푸핑 (Spoofing) 공격 대상시스템의 ARP 테이블을변조하여게이트웨이의 MAC 주소와공격자의 MAC 주소를동일하게설정 대상시스템에서전송되는모든패킷은공격자의시스템으로동일하게전송되며, 공격자는대상시스템의모든패킷을모니터링 네트워크테이블을조사하여비인가된주소를가지고있는항목이없는지를확인 특정 MAC 주소가서로다른 IP에서나타날경우, ARP Spoofing을의심
네트워크정보 악성프로그램은대상시스템의네트워크포트를열어공격자와통신 공격자는시스템을장악하고나서이후에다시대상시스템에쉽게접근하기위해백도어 (Backdoor) 를설치, 연결 현재네트워크연결상태를확인하고사용정보를바탕으로비인가된접속을판별 외부와연결된포트를확인 해당포트를사용하는프로세스를판별같이호스트로들어온연결정보, 호스트에서나가는연결정보를통해서침입흔적을발견할수있다.
네트워크정보 SMB(Server Message Block) 프로토콜 동일도메인내의시스템사이의자원을공유 CIFS(Common Internet File System) OSI 7 계층중애플리케이션레벨에서동작 파일, 프린터와같은다양한네트워크공유지원 NET SHARE : 현재시스템에서열린공유자원의정보 NET SESSION : 원격으로시스템에접근하여사용되고있는자원 NET FILE : 원격사용파일, 전체경로및원격으로접속한사용자의 ID를출력 SMB 프로토콜의취약점을이용하여원격에서코드를실행
웹브라우저 - Internet Explorer Internet Explorer Temporary Internet File : 웹서버로부터불러온임시파일을저장 Cookies : 쿠키파일 History : 사용자가접속한웹사이트의목록을저장 모두 index.dat 파일을통하여관련정보를관리 운영체제버전에따른 index.dat 파일의저장위치 운영체제 저장위치 WINDOWS Temporary Internet Files Content.IE5 윈도우 95/98/Me WINDOWS Cookies WINDOWS History History.IE5 Winnt Profiles <username> Local P < l Setting Temporary Internet Files Content.IE5 윈도우 NT Winnt Profiles <username> Cookies Winnt Profiles <username> Local Setting History History.IE5 Documents and Settings <username> Local Settings Temporary Internet Files Content.IE5 윈도우 2K/XP Documents and Settings <username> Cookies Document and Settings <username> Local Settings History History.IE5 Users <username> AppData Local Microsoft Windows Temporary Internet Files Content.IE5 윈도우 Vista Users <username> AppData Local Microsoft Windows History History.IE5 Users <username> AppData Roaming Microsoft Windows Cookies
웹브라우저 - Internet Explorer History - index.dat 접속한 url, 다운로드받은파일, 마지막방문시간을확인 검색어를추출 : 검색사이트마다쿼리내용과인코딩방법을분석 Ex) (1) (2) http://search.naver.com/search.naver?where=nexearch&query=%bc%ad%bf%ef%b B%EA%BE%F7%B4%EB&x=42&y=23&sm=top_hty&fbm=142& 23& &fb (3) 검색사이트페이지 (1) 쿼리변수 (2) 인코딩방법 (3) Naver search.naver.com/search.naver query 멀티바이트, UTF-8 Google google.co.kr/search q UTF-8 Daum search.daum.net/search q 멀티바이트 Yahoo search.yahoo.com/search p 멀티바이트 Empas search.empas.com/search q 멀티바이트 Activity Record 의 url 을통해다운로드받은파일을확인 ex) file:///c:/abcd.txt
웹브라우저 - Internet Explorer Temporary Internet File - index.dat 저장된임시파일의 url, 임시파일의저장위치, 임시파일의이름, 접속시간을확인 "directory 인덱스 " 와 파일이름오프셋 을이용하여 directory 이름과임시파일이름을확인하면해당웹메일이어느위치에저장되었는지쉽게알수있다. 쿠키파일 Cookies - index.dat d Cookies를저장하는사이트의 URL, 생성시간, 최근접근시간, 정보를저장하는쿠키파일의이름을확인
웹브라우저 - FireFox FireFox 임시파일, 웹히스토리, 쿠키를저장 FireFox3F 와 FireFox2F 사용정보를저장하는방법이다름 버전 2에서버전 3로업데이트하더라도버전 2를사용하였을때의로그가대상시스템에남아있을가능성이있다. FireFox2 FireFox3 임시파일 Cache Cache 웹히스토리 history.dat places.sqlite, 쿠키 cookies.txt cookies.sqlite
웹브라우저 - FireFox FireFox 버전별파일저장위치 (WinXp 의예 ) 버전 FireFox2 FireFox3 저장위치 Documents and Settings <username> Local Settings Application D ata Mozilla Firefox Profiles <Random Text> Cache Documents and Settings <username> Application Data Mozil la Fi refox Profiles <Random Text> history.dat Documents and Settings <username> Application Data Mozill a Fi refox Profiles <Random Text> cookies.txt Documents and Settings <username> Local Settings Application D ata Mozilla Firefox Profiles <Random Text> Cache Documents and Settings <username> Application Data Mozil la Fi refox Profiles <Random Text> places.sqlite Documents and Settings <username> Application Data Mozill a Fi refox Profiles <Random Text> cookies.sqlite
웹브라우저 - FireFox places.sqlite, cookies.sqlite 웹히스토리를저장 SQLite database : 임베디드데이터베이스라이브러리, 하나의라이브러리에데이터베이스인터페이스를병합한형태이다. Places.sqlite : 웹히스토리를저장 cookies.sqlite : 쿠키를저장한다. cookies.sqlite 쿠키를저장 moz_cookies라는한개의테이블이존재 호스트이름, 폐기날짜, 값, 값의이름, 마지막접근시간등의정보
웹브라우저 - FireFox places.sqlite - moz_places, moz_historyvisits 테이블 moz_places 테이블 방문한웹사이트의 url 과해당웹페이지제목, 방문한횟수, 주소를직접입력하여접속하였는지여부등의정보를제공 moz_historyvisits 사용자가해당웹사이트를방문한시간정보 visit_date moz_places 테이블의 id 와 moz_historyvisits 테이블의 places_id 를결합하면사용자가해당 url 에접속하였을때의시간정보를알수있다. 테이블항목설명 id 각 record 마다주어지는고유번호 url 사용자가접속한 url title 해당웹페이지제목 moz_places rev_host 호스트이름을역순으로나열한것 visit_count 방문한횟수 typed 사용자가주소를직접입력하였는지여부 favicon_id favorites icon moz_historyvisits paces_id visit_date moz_paces 의 id 방문시간
인터넷메신저 대부분의메신저는설치경로, 프로그램버전등의정보를레지스트리에저장 설치경로의파악은매우중요 일부메신저는대화내용을메신저설치디렉토리하위에대화내용을저장 메신저설정파일등의핵심파일이프로그램이설치된경로에존재
인터넷메신저 설정정보를계정별로레지스트리에저장 대화내역저장경로, 다운로드파일저장경로, 자동로그인계정명및패스워드등저장 다운로드파일저장경로를통해사용자가다운로드받은파일을확인및분석 자동로그인계정명을통해최종적으로어떠한계정을사용하였는지파악 특정사용자를가리기위한계정별정보의파악 공용 PC 의경우에는간혹다수의사용자가짧은시간사용하는경우
인터넷메신저 대화를저장하도록설정하는경우대화내역이 PC 에저장 일부메신저는대화내역암호화 Windows Live Messenger : 텍스트형태저장 실시간으로대화및파일을주고받을수있다는장점 대화내역및파일송수신정보를파악하는일은매우중요 대화내역을수집시증거로써쓰일가능성이매우크다.
인터넷메신저 - Windows Live Messenger Windows Live Messenger HKCU\Software\Microsoft\ MSNMessenger 설치경로, 프로그램버전및기타설정정보들을기록 MachineGuid 값은메신저가설치된 PC의 GUID "MachineName" 은 PC 의이름 "PerPassportSettings :"DefaultMemberName" 은메신저실행후에기본적으로보이는계정명 SQM : "TotalUpTime" 은로그인하여사용한총시간 ( 단위 : 초 )
인터넷메신저 - Windows Live Messenger HKCU\Software\Microsoft \MSNMessenger\PerPassportSettings 각사용자를구분하기위한 Passport 번호로하위키를만들어사용자별계정정보를기록 MessageLogPath 각계정의대화내역정보가저장되는경로가저장 자동로그인을위한계정및패스워드정보 윈도우시스템의 Credential Management( 자격정보관리 ) advapi32.dll의 CredRead, CredEnumerate 함수등을통해현재활성화된계정의 Credential 정보를가져올수있다.
인터넷메신저 - Windows Live Messenger CredRead, CredEnumerate 를이용해복구된패스워드
인터넷메신저 - Windows Live Messenger Windows Live Messenger는대화내역을저장하는경우, 앞서설명한계정별정보항목에서확인가능한 MessageLogPath" 에저장되어있는경로에 XML 형식으로저장하게된다. 상대방계정별로 계정명 +Passport번호.xml" 형식의파일이름을갖게되며, 해당파일을웹브라우저로열어쉽게대화내역을확인할수있다. 대화내역파일에는대화날짜, 시간, 보낸사람, 받는사람, 메시지등의항목이저장된다.
인터넷메신저 - Yahoo! Messenger Yahoo! Messenger는윈도우레지스트리의 HKCU Software Yahoo pager" 키의하위에설치경로, 프로그램버전및기타설정정보들이기록된다.
인터넷메신저 - Yahoo! Messenger Yahoo! User ID : 가장최근에접속한사용자의계정명을저장 HKCU Software Yahoo pager profiles 계정명과같은하위키가생성, 한번이라도접속을시도했을경우에생성 해당계정키하위에 Alerts" 키의 "Total Login Tries" 값이나타내는데이터는로그인이실패했을경우총몇번의로그인을시도하였는지나타낸다.
인터넷메신저 - Yahoo! Messenger 대화내역저장옵션을선택하는경우에한해 < 설치경로 > Profiles < 사용자계정 > Archive Messages < 상대방계정 > < 년월일 >-< 사용자계정 >.dat 의경로에대화내역파일을저장 대화내역파일에서추출한대화내용은 UTF-8 로인코딩 사용자계정명과의 XOR(Exclusive OR) 를통해저장
인터넷메신저 - NateOn HKCU Software SK Communications Messenger 설치경로, 프로그램버전및기타설정정보 Setting "UserID" 값에최근에접속한계정을저장 "UserKey 항목으로자동로그인을위한토큰을저장 사용자 PC의 MAC 주소등의고유한정보를통해생성된다.
인터넷메신저 - NateOn NateOn은 4.0으로버전이업그레이드되면서, 기존에파일로저장되던모든대화및쪽지내역이외부서버로저장되도록변경되어해당기록을남기지않는다. 따라서로컬시스템에서획득할수있는자료는많지않다.