Microsoft PowerPoint - chap10.pptx

Similar documents
Install stm32cubemx and st-link utility

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

PowerPoint 프레젠테이션

컴퓨터관리2번째시간

슬라이드 1

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

ActFax 4.31 Local Privilege Escalation Exploit

RHEV 2.2 인증서 만료 확인 및 갱신

System Recovery 사용자 매뉴얼

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

운영체제실습_명령어

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 -

*2008년1월호진짜

슬라이드 1

server name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지

SBR-100S User Manual

PowerPoint 프레젠테이션

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

User Guide

Microsoft Word - src.doc

공지사항

untitled

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

PowerPoint Presentation

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx

MySQL-.. 1

Windows 10 General Announcement v1.0-KO

ODS-FM1

SMB_ICMP_UDP(huichang).PDF

아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다

Microsoft PowerPoint - chap06-2pointer.ppt

Dropbox Forensics

Secure Programming Lecture1 : Introduction

IP 심화 라우팅프로토콜적용시 라우팅테이블에서 이니셜이있는네트워크를설정하는것 : onnected 직접연결된네트워크를의미한다. 그러므로라우팅은 나는이런네트워크와연결되어있다. 를직접연결된라우터들에게알려주는것 1>en 1#conf t 1(config)#router rip 1

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

Microsoft PowerPoint - chap01-C언어개요.pptx

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

게시판 스팸 실시간 차단 시스템

Windows Server 2012

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

PowerPoint 프레젠테이션

<4D F736F F F696E74202D E20C0CEC5CDB3DD20C0C0BFEB20B9D720BCADBAF1BDBA20B1E2BCFA E >

1. 제품 개요 WeGuardia WIPS V2.0(이하 TOE)은 특정 조직에서 운영되는 무선랜에 대한 지속적인 모니터을 통해 내 외부로부터 발생할 수 있는 각종 침입을 탐지 및 차단하여 내부의 네트워크를 보호하는 무선침입방지시스템이다. TOE의 세부 식별자 및 배포

슬라이드 1

ISP and CodeVisionAVR C Compiler.hwp

PowerPoint Presentation

금오공대 컴퓨터공학전공 강의자료

Spotlight on Oracle V10.x 트라이얼프로그램설치가이드 DELL SOFTWARE KOREA

Assign an IP Address and Access the Video Stream - Installation Guide

비디오 / 그래픽 아답터 네트워크 만약에 ArcGolbe를 사용하는 경우, 추가적인 디스크 공간 필요. ArcGlobe는 캐시파일을 생성하여 사용 24 비트 그래픽 가속기 Oepn GL 2.0 이상을 지원하는 비디오카드 최소 64 MB 이고 256 MB 이상을 메모리

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

4S 1차년도 평가 발표자료

임베디드시스템설계강의자료 4 (2014 년도 1 학기 ) 김영진 아주대학교전자공학과

SBR-100S User Manual

vRealize Automation용 VMware Remote Console - VMware

PowerPoint 프레젠테이션

YUM(Yellowdog Updater,Modified) : RPM 패키지가저장된서버 ( 저장소 ) 로부터원하는패키지를자동으로설치한다. : YUM 도구는 RPM 의패키지의존성문제를해결

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

Frama-C/JESSIS 사용법 소개

SAS9.2_SAS_Enterprise_Miner_install_guide_single_user_v2

TTA Journal No.157_서체변경.indd

Raspbian 설치 라즈비안 OS (Raspbian OS) 라즈베리파이 3 Model B USB 마우스 USB 키보드 마이크로 SD 카드 마이크로 SD 카드리더기 HDM I 케이블모니터

기존에 Windchill Program 이 설치된 Home Directory 를 선택해준다. 프로그램설치후설치내역을확인해보면 Adobe Acrobat 6.0 Support 내역을확인할수 있다.

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

NTD36HD Manual

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

행자부 G4C

01장

Microsoft Word - release note-VRRP_Korean.doc

PowerPoint Template

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

adfasdfasfdasfasfadf

사용자계정관리 1. 사용자계정관리 사용자 (user), 그룹 (group) u 다중사용자시스템 (Multi-User System) - 1 대의시스템을동시에여러사람이접속하여쓸수있게하는시스템 u 사용자 (user) - 시스템관리자 : root (=Super user) -

BEA_WebLogic.hwp

Splentec V-WORM Quick Installation Guide Version: 1.0 Contact Information 올리브텍 주소 : 경기도성남시분당구구미로 11 ( 포인트타운 701호 ) URL: E-M

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

EDB 분석보고서 (04.06) ~ Exploit-DB( 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time-

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

!K_InDesginCS_NFH

[로플랫]표준상품소개서_(1.042)

Microsoft PowerPoint - 5. 사용자 계정관리-1(2016-1학기).ppt [호환 모드]

슬라이드 1

6강.hwp

Secure Programming Lecture1 : Introduction

DBMS & SQL Server Installation Database Laboratory

Analytics > Log & Crash Search > Unity ios SDK [Deprecated] Log & Crash Unity ios SDK. TOAST SDK. Log & Crash Unity SDK Log & Crash Search. Log & Cras

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation

<4D F736F F D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

Analyst Briefing

목차 1. 웹브라우저로그분석 : 심화과정 통합타임라인분석 Time Zone 분석 검색어추출 URL 인코딩분석 사용자행위분류 삭제로그정보복구 2. 결론 forensicinsight.org Page 2 / 26

Portal_9iAS.ppt [읽기 전용]

Remote UI Guide

Transcription:

제 10 장윈도우시스템조사 박종혁교수 Tel: 970-6702 Email: jhpark1@snut.ac.kr ac kr

개요 학습목표 윈도우시스템의휘발성데이터, 환경설정에관련된레지스트리, 네트워크설정및사용현황에관한정보, 인터넷서핑기록을알수있는웹브라우저, 인터넷메신저의정보수집에대해학습한다. 학습내용 윈도우레지스트리 네트워크정보 웹브라우저 인터넷메신저

목차 1. 윈도우레지스트리 2. 네트워크정보 3. 웹브라우저 4. 인터넷메신저

윈도우레지스트리 레지스트리소개 레지스트리는마이크로소프트윈도우 95 이후버전에서도입된환경설정에관한일종의데이터베이스 운영체제및응용프로그램운영에필요한정보를저장및관리 부팅과정에서사용되는정보, 로그인, 서비스실행, 응용프로그램실행, 사용자실행등 파일시스템의구성요소와유사 모든값 (Value) 은키내에위치하며, 키들은계층형구조

윈도우레지스트리 레지스트리는디스크상에서 하이브 (Hive)" 로불리는분리된파일로존재 윈도우부팅과정에서메모리에적재되어관리 레지스트리정보를디스크에저장한바이너리파일 시스템이로그온되면시스템커널프로그램에의해관리 하이브파일의목록 하이브파일이름윈도우레지스트리경로저장정보 HKEY_USER.DEFAULT Default 사용자계정이생성될때, 기본적으로필요한정보를저장한다. KKEY_LOCAL_MACHINE SOFTWARE Software 응용프로그램정보 HKEY_LOCAL_MACHINE SAM Sam 사용자계정정보저장 HKEY_LOCAL_MACHINE SECURITY Security 감사정책및권한정보저장 HKEY_LOCAL_MACHINE SYSTEM System 하드웨어드라이버및구성정보 HKEY_USERS Ntuser.dat( 각계정마다하나씩별도 ) 사용자계정에설정된정보저장

윈도우레지스트리 HKEY_LOCAL_MACHINE\SYSTEM\CurrentContolSet\Control\hive list 경로에각각에해당하는하이브파일의위치정보가저장 포렌식조사를위해서는레지스트리의위치정보를숙지 디지털포렌식조사관점에서레지스트리는사용자의활동정보나응용프로그램사용흔적, 설치된하드웨어및소프트웨어정보, 네트워크설정정보와같은많은디지털증거를수집할수있는포렌식자원 각각의키에마지막수정시각 (Last Written Time) 이기록되어있기때문에일종의로그로써활용

레지스트리포렌식분석 설치된프로그램목록 HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windo ws CurrentVersion UnInstall 경로에설치된프로그램의이름, 버전, 게시자, 설치시각, 설치위치, 소스경로가저장

레지스트리포렌식분석 하위키는설치된응용프로그램의목록 (SID로표시 ) 을가리키고, 값에설치된프로그램정보가저장 프로그램추가ㆍ삭제목록을조사하여사용자가의도하지않은특정프로그램이설치되어있는지조사하고, 해당프로그램이정상적인프로그램인지를확인 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVer USER\Software\Microsoft\Windows\CurrentVer sion\explorer\userassist\{5e6ab780-7743-11cf-a12b- 00AA004AE837}\Count 실행한프로그램의경로와실행유형, 실행횟수, 최종실행시간이저장 값의이름이 ROT13(Caesar cipher) 으로암호화 ROT13 은 Rotate by 13 places 의줄임말로간단한치환암호

레지스트리포렌식분석 실행횟수의시작값은 5 마지막실행시각은 FILETIME 형식으로저장 이값을조사하여의심스러운시간대에특정파일이실행되었는지유무를확인 특히이항목들은악의적인프로그램을삭제한후에도레지스트리에남아있기때문에중요한증거로사용될수있다.

레지스트리포렌식분석 한글 2007 HKEY_CURRENT_USER\Software\ HNC\Hwp\7.0\HwpFrame\Re centfile 최근사용한문서의목록이최대 10개까지저장

레지스트리포렌식분석 마이크로소프트오피스 2007 최근접근문서가최대 50 개까지저장 마이크로소프트오피스엑셀, 파워포인트, 워드프로세스가모두동일 item 0 가최근에사용한문서 HKEY_CURRENT_USER\Software\Microsoft\Office\12.0 \{Excel PowerPoint Word}\File MRU 최근사용한문서의정보가저장

레지스트리포렌식분석 USB(Universal Serial Bus) 에장치를연결하면관련드라이버정보등이레지스트리에저장 HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Enum\USBSTOR 해당시스템에연결된적이있는모든 USB 저장장치의생산자와 ID 값등이기록

레지스트리포렌식분석 {Device Type}&Ven_{Vendor String}&Prod_{Product String}&Rev_{Version Information} Device Type 은해당장치의종류 Vendor String에는제조사 Product String에는제품이름 Version Information 에는제품버전 선택된키는해당장치의 Unique Instance ID 해당값은다른시스템에연결될때도같은값으로나타나기때문에, USB 저장장치를특정할수있다. 일부에해당값이없는경우가존재 이경우윈도우시스템의 PnP Manager가자동으로 Prefix 값을할당 동일한 USB 저장장치라할지라도다른시스템에연결될때, 서로다른 해당되는 USB 저장장치를특정할수는없다.

레지스트리포렌식분석 HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer RecentDocs 하위키는확장자별로구분하여사용된문서정보를저장 해당값은유니코드로저장

레지스트리포렌식분석 인터넷익스플로러 (Internet Explorer) 웹브라우저주소창에기록하는주소목록 HKEY_CURRENT_USER\Software\Microsoft\Internet USER\S \Mi f \I Explorer\TypedURLs 사용자가자주접속하는웹페이지, 주제, 키워드등을 인터넷익스플로러 7 버전부터는해당경로에기록하지않음

레지스트리포렌식분석 윈도우의실행창을통해서입력된명령어목록 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVer sion\explorer\runmru 실행한순서는 MRUList(Most Recent Used List) 값 이값은가장최근에사용된명령어순서로값정보를저장한배열 b 가가장먼저실행되었고, c, a, d, e, f 순서로실행되었음을의미

네트워크정보 네트워크장치는주로사용되는이더넷 (Ethernet) 카드, IEEE 802.11x 를지원하는무선접속단말기등을의미 해당시스템에연결된모든네트워크장치에할당된 IP 정보, MAC 주소, 하드웨어 ID 등을조사하여어떤주소로통신을송수신했는지파악할필요이정보를활용하여추후침입탐지사례를조사할경우, 보다정확한재구성가능

네트워크정보 네트워크테이블 라우팅 (Routing) 테이블 : IP 정보를저장 ARP(Address Resolution Protocol) 테이블 : MAC 주소를저장 ARP 스푸핑 (Spoofing) 공격 대상시스템의 ARP 테이블을변조하여게이트웨이의 MAC 주소와공격자의 MAC 주소를동일하게설정 대상시스템에서전송되는모든패킷은공격자의시스템으로동일하게전송되며, 공격자는대상시스템의모든패킷을모니터링 네트워크테이블을조사하여비인가된주소를가지고있는항목이없는지를확인 특정 MAC 주소가서로다른 IP에서나타날경우, ARP Spoofing을의심

네트워크정보 악성프로그램은대상시스템의네트워크포트를열어공격자와통신 공격자는시스템을장악하고나서이후에다시대상시스템에쉽게접근하기위해백도어 (Backdoor) 를설치, 연결 현재네트워크연결상태를확인하고사용정보를바탕으로비인가된접속을판별 외부와연결된포트를확인 해당포트를사용하는프로세스를판별같이호스트로들어온연결정보, 호스트에서나가는연결정보를통해서침입흔적을발견할수있다.

네트워크정보 SMB(Server Message Block) 프로토콜 동일도메인내의시스템사이의자원을공유 CIFS(Common Internet File System) OSI 7 계층중애플리케이션레벨에서동작 파일, 프린터와같은다양한네트워크공유지원 NET SHARE : 현재시스템에서열린공유자원의정보 NET SESSION : 원격으로시스템에접근하여사용되고있는자원 NET FILE : 원격사용파일, 전체경로및원격으로접속한사용자의 ID를출력 SMB 프로토콜의취약점을이용하여원격에서코드를실행

웹브라우저 - Internet Explorer Internet Explorer Temporary Internet File : 웹서버로부터불러온임시파일을저장 Cookies : 쿠키파일 History : 사용자가접속한웹사이트의목록을저장 모두 index.dat 파일을통하여관련정보를관리 운영체제버전에따른 index.dat 파일의저장위치 운영체제 저장위치 WINDOWS Temporary Internet Files Content.IE5 윈도우 95/98/Me WINDOWS Cookies WINDOWS History History.IE5 Winnt Profiles <username> Local P < l Setting Temporary Internet Files Content.IE5 윈도우 NT Winnt Profiles <username> Cookies Winnt Profiles <username> Local Setting History History.IE5 Documents and Settings <username> Local Settings Temporary Internet Files Content.IE5 윈도우 2K/XP Documents and Settings <username> Cookies Document and Settings <username> Local Settings History History.IE5 Users <username> AppData Local Microsoft Windows Temporary Internet Files Content.IE5 윈도우 Vista Users <username> AppData Local Microsoft Windows History History.IE5 Users <username> AppData Roaming Microsoft Windows Cookies

웹브라우저 - Internet Explorer History - index.dat 접속한 url, 다운로드받은파일, 마지막방문시간을확인 검색어를추출 : 검색사이트마다쿼리내용과인코딩방법을분석 Ex) (1) (2) http://search.naver.com/search.naver?where=nexearch&query=%bc%ad%bf%ef%b B%EA%BE%F7%B4%EB&x=42&y=23&sm=top_hty&fbm=142& 23& &fb (3) 검색사이트페이지 (1) 쿼리변수 (2) 인코딩방법 (3) Naver search.naver.com/search.naver query 멀티바이트, UTF-8 Google google.co.kr/search q UTF-8 Daum search.daum.net/search q 멀티바이트 Yahoo search.yahoo.com/search p 멀티바이트 Empas search.empas.com/search q 멀티바이트 Activity Record 의 url 을통해다운로드받은파일을확인 ex) file:///c:/abcd.txt

웹브라우저 - Internet Explorer Temporary Internet File - index.dat 저장된임시파일의 url, 임시파일의저장위치, 임시파일의이름, 접속시간을확인 "directory 인덱스 " 와 파일이름오프셋 을이용하여 directory 이름과임시파일이름을확인하면해당웹메일이어느위치에저장되었는지쉽게알수있다. 쿠키파일 Cookies - index.dat d Cookies를저장하는사이트의 URL, 생성시간, 최근접근시간, 정보를저장하는쿠키파일의이름을확인

웹브라우저 - FireFox FireFox 임시파일, 웹히스토리, 쿠키를저장 FireFox3F 와 FireFox2F 사용정보를저장하는방법이다름 버전 2에서버전 3로업데이트하더라도버전 2를사용하였을때의로그가대상시스템에남아있을가능성이있다. FireFox2 FireFox3 임시파일 Cache Cache 웹히스토리 history.dat places.sqlite, 쿠키 cookies.txt cookies.sqlite

웹브라우저 - FireFox FireFox 버전별파일저장위치 (WinXp 의예 ) 버전 FireFox2 FireFox3 저장위치 Documents and Settings <username> Local Settings Application D ata Mozilla Firefox Profiles <Random Text> Cache Documents and Settings <username> Application Data Mozil la Fi refox Profiles <Random Text> history.dat Documents and Settings <username> Application Data Mozill a Fi refox Profiles <Random Text> cookies.txt Documents and Settings <username> Local Settings Application D ata Mozilla Firefox Profiles <Random Text> Cache Documents and Settings <username> Application Data Mozil la Fi refox Profiles <Random Text> places.sqlite Documents and Settings <username> Application Data Mozill a Fi refox Profiles <Random Text> cookies.sqlite

웹브라우저 - FireFox places.sqlite, cookies.sqlite 웹히스토리를저장 SQLite database : 임베디드데이터베이스라이브러리, 하나의라이브러리에데이터베이스인터페이스를병합한형태이다. Places.sqlite : 웹히스토리를저장 cookies.sqlite : 쿠키를저장한다. cookies.sqlite 쿠키를저장 moz_cookies라는한개의테이블이존재 호스트이름, 폐기날짜, 값, 값의이름, 마지막접근시간등의정보

웹브라우저 - FireFox places.sqlite - moz_places, moz_historyvisits 테이블 moz_places 테이블 방문한웹사이트의 url 과해당웹페이지제목, 방문한횟수, 주소를직접입력하여접속하였는지여부등의정보를제공 moz_historyvisits 사용자가해당웹사이트를방문한시간정보 visit_date moz_places 테이블의 id 와 moz_historyvisits 테이블의 places_id 를결합하면사용자가해당 url 에접속하였을때의시간정보를알수있다. 테이블항목설명 id 각 record 마다주어지는고유번호 url 사용자가접속한 url title 해당웹페이지제목 moz_places rev_host 호스트이름을역순으로나열한것 visit_count 방문한횟수 typed 사용자가주소를직접입력하였는지여부 favicon_id favorites icon moz_historyvisits paces_id visit_date moz_paces 의 id 방문시간

인터넷메신저 대부분의메신저는설치경로, 프로그램버전등의정보를레지스트리에저장 설치경로의파악은매우중요 일부메신저는대화내용을메신저설치디렉토리하위에대화내용을저장 메신저설정파일등의핵심파일이프로그램이설치된경로에존재

인터넷메신저 설정정보를계정별로레지스트리에저장 대화내역저장경로, 다운로드파일저장경로, 자동로그인계정명및패스워드등저장 다운로드파일저장경로를통해사용자가다운로드받은파일을확인및분석 자동로그인계정명을통해최종적으로어떠한계정을사용하였는지파악 특정사용자를가리기위한계정별정보의파악 공용 PC 의경우에는간혹다수의사용자가짧은시간사용하는경우

인터넷메신저 대화를저장하도록설정하는경우대화내역이 PC 에저장 일부메신저는대화내역암호화 Windows Live Messenger : 텍스트형태저장 실시간으로대화및파일을주고받을수있다는장점 대화내역및파일송수신정보를파악하는일은매우중요 대화내역을수집시증거로써쓰일가능성이매우크다.

인터넷메신저 - Windows Live Messenger Windows Live Messenger HKCU\Software\Microsoft\ MSNMessenger 설치경로, 프로그램버전및기타설정정보들을기록 MachineGuid 값은메신저가설치된 PC의 GUID "MachineName" 은 PC 의이름 "PerPassportSettings :"DefaultMemberName" 은메신저실행후에기본적으로보이는계정명 SQM : "TotalUpTime" 은로그인하여사용한총시간 ( 단위 : 초 )

인터넷메신저 - Windows Live Messenger HKCU\Software\Microsoft \MSNMessenger\PerPassportSettings 각사용자를구분하기위한 Passport 번호로하위키를만들어사용자별계정정보를기록 MessageLogPath 각계정의대화내역정보가저장되는경로가저장 자동로그인을위한계정및패스워드정보 윈도우시스템의 Credential Management( 자격정보관리 ) advapi32.dll의 CredRead, CredEnumerate 함수등을통해현재활성화된계정의 Credential 정보를가져올수있다.

인터넷메신저 - Windows Live Messenger CredRead, CredEnumerate 를이용해복구된패스워드

인터넷메신저 - Windows Live Messenger Windows Live Messenger는대화내역을저장하는경우, 앞서설명한계정별정보항목에서확인가능한 MessageLogPath" 에저장되어있는경로에 XML 형식으로저장하게된다. 상대방계정별로 계정명 +Passport번호.xml" 형식의파일이름을갖게되며, 해당파일을웹브라우저로열어쉽게대화내역을확인할수있다. 대화내역파일에는대화날짜, 시간, 보낸사람, 받는사람, 메시지등의항목이저장된다.

인터넷메신저 - Yahoo! Messenger Yahoo! Messenger는윈도우레지스트리의 HKCU Software Yahoo pager" 키의하위에설치경로, 프로그램버전및기타설정정보들이기록된다.

인터넷메신저 - Yahoo! Messenger Yahoo! User ID : 가장최근에접속한사용자의계정명을저장 HKCU Software Yahoo pager profiles 계정명과같은하위키가생성, 한번이라도접속을시도했을경우에생성 해당계정키하위에 Alerts" 키의 "Total Login Tries" 값이나타내는데이터는로그인이실패했을경우총몇번의로그인을시도하였는지나타낸다.

인터넷메신저 - Yahoo! Messenger 대화내역저장옵션을선택하는경우에한해 < 설치경로 > Profiles < 사용자계정 > Archive Messages < 상대방계정 > < 년월일 >-< 사용자계정 >.dat 의경로에대화내역파일을저장 대화내역파일에서추출한대화내용은 UTF-8 로인코딩 사용자계정명과의 XOR(Exclusive OR) 를통해저장

인터넷메신저 - NateOn HKCU Software SK Communications Messenger 설치경로, 프로그램버전및기타설정정보 Setting "UserID" 값에최근에접속한계정을저장 "UserKey 항목으로자동로그인을위한토큰을저장 사용자 PC의 MAC 주소등의고유한정보를통해생성된다.

인터넷메신저 - NateOn NateOn은 4.0으로버전이업그레이드되면서, 기존에파일로저장되던모든대화및쪽지내역이외부서버로저장되도록변경되어해당기록을남기지않는다. 따라서로컬시스템에서획득할수있는자료는많지않다.