레지스트리포렌식 & 보안 JK Kim @pr0neer proneer@gmail.com
개요 1. 레지스트리소개 2. 레지스트리획득 3. 레지스트리내부 4. 레지스트리복구 5. 레지스트리분석 6. 레지스트리도구 7. 레지스트리분석예제 8. 레지스트리보안 2
레지스트리소개 Security is a people problem 3
레지스트리소개 레지스트리소개및분석의필요성 윈도우레지스트리 (Windows Registry) 마이크로소프트윈도우운영체제에서운영체제와응용프로그램운영에필요한정보를저장하기위해고안한 계층형데이터베이스 (http://support.microsoft.com/kb/256986) 부팅과정부터로그인, 서비스실행, 응용프로그램실행, 사용자행위등모든활동에관여함 윈도우 3.11, 9x, Me, NT, 2000, XP, 2003, Vista, 2008, 7 에서사용 레지스트리포렌식분석의필요성 윈도우시스템분석의필수요소 운영체제정보, 사용자계정정보, 시스템정보, 응용프로그램실행흔적, 최근접근문서등 자동실행항목 (Autoruns) 분석, 악성코드탐지 저장매체사용흔적분석 ( 하드디스크, CD-ROM, USB 등 ) 사용자 / 시스템 / 저장매체사용흔적분석 추가적인포렌식분석대상선별 4
레지스트리소개 레지스트리분석의포렌식관점 온라인 (On-line) 레지스트리분석 활성시스템에서의레지스트리분석 RegEdit(regedit.exe), RegEdt32(regedt32.exe) 를통해확인가능 (http://support.microsoft.com/kb/141377) 오프라인 (Off-line) 레지스트리분석 비활성시스템 ( 포렌식복제드라이브나이미지 ) 에서의레지스트리분석 레지스트리하이브 (Hive) 파일의수집이필요 운영체제버전별하이브파일의정확한위치를사전에숙지 포렌식분석은대부분오프라인레지스트리분석을대상으로함 5
레지스트리소개 하이브 (Hive) 파일이란? 하이브파일 레지스트리정보를저장하고있는물리적인파일 키 (Key) 값들이논리적인구조로저장 활성시스템의커널에서하이브파일을관리 일반적인방법으로는접근불가 하이브셋 (Hive Set) 활성시스템의레지스트리를구성하는하이브파일목록 SAM, SECURITY, SYSTEM, SOFTWARE, Default, NTUSER.DAT, Usrclass.dat, BCD, COMPONENTS 등 6
레지스트리소개 레지스트리데이터형식 Key Value Data Type Data 7
레지스트리소개 레지스트리루트키 Root Key 8
레지스트리소개 레지스트리루트키 HKEY_CLASSES_ROOT 파일연관성과 COM(Component Object Model) 객체등록정보 HKEY_CURRENT_USER 현재시스템에로그인된사용자의사용자프로파일정보 HKEY_LOCAL_MACHINE 시스템의하드웨어, 소프트웨어설정및다양한환경정보 HKEY_USERS 시스템의모든사용자와그룹에관한프로파일정보 HKEY_CURRENT_CONFIG 시스템이시작할때사용되는하드웨어프로파일정보 HKEY_PERFORMANCE_DATA 성능정보를저장 9
레지스트리소개 레지스트리루트키구성정보 루트키약어설명 HKEY_CLASSES_ROOT HKCR HKLM\SOFTWARE\Classes 와 HKU\<SID>\Classes 모음 HKEY_CURRENT_USER HKCU HKU 아래사용자프로파일중현재로그인한사용자의하위키 HKEY_LOCAL_MACHINE HKLM 시스템에존재하는하이브파일과메모리하이브모음 HKEY_USERS HKU 사용자루트폴더에존재하는 NTUSER.DAT 파일의내용 HKEY_CURRENT_CONFIG HKCC HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current 의내용 HKEY_PERFORMANCE_DATA HKPD 성능카운트 ( 레지스트리편집기를통해접근불가, 레지스트리함수로만접근 ) 10
레지스트리소개 HKEY_CLASSES_ROOT (HKCR) 하위키구성 별도의하이브를가지지않고다른루트키의하위키로구성됨 HKLM\SOFTWARE\Classes + HKU\<SID>_Classes 11
레지스트리소개 HKEY_CLASSES_ROOT (HKCR) 어플리케이션바인딩 (http:///archives/294) 12
레지스트리소개 HKEY_CLASSES_ROOT (HKCR) 어플리케이션바인딩 (http:///archives/294) 13
레지스트리소개 HKEY_CLASSES_ROOT (HKCR) 어플리케이션바인딩 (http:///archives/294) 14
레지스트리소개 HKEY_CURRENT_USER (HKCU) 하위키구성 HKU (HKEY_USERS) 아래의프로파일중현재로그인한사용자의하위키 15
레지스트리소개 HKEY_CURRENT_USER (HKCU) 하위키내용 하위키 AppEvents CLSID 설명 사운드, 이벤트관련키 COM 객체연결정보 Console 명령프롬프트윈도우설정정보 ( 가로, 세로크기, 색상등 ) ControlPanel Environment EUDC Identities Keyboard Layout Network Printers Session Information Software System UNICODE Program Groups Volatile Environment 데스크탑테마, 키보드 / 마우스세팅등의환경설정정보환경변수정의최종사용자가정의한문자정보윈도우메일계정정보키보드레이아웃설정정보네트워크드라이브매핑정보, 환경설정값프린트연결설정작업표시줄에표시되는현재실행되는프로그램설정로그인한사용자소프트웨어목록 HKLM/SYSTEM 하위키의일부 (Control, Policies, Services) 로그인한사용자시작메뉴그룹정의휘발성환경변수 16
레지스트리소개 HKEY_LOCAL_MACHINE (HKLM) 하위키구성 시스템의다양한하드웨어, 소프트웨어, 환경설정정보 HKLM 하위키 HKLM\BCD00000000 (Vista/7) HKLM\COMPONENTS (Vista/7) HKLM\HARDWARE HKLM\SAM HKLM\SECURITY HKLM\SOFTWARE HLLM\SYSTEM 하이브파일위치 {Boot Partition}\Boot\BCD {Boot Partition}\Boot\BCD.LOG {Boot Partition}\Boot\BCD.LOG1 {Boot Partition}\Boot\BCD.LOG2 %SystemRoot%\System32\config\COMPONENTS %SystemRoot%\System32\config\COMPONENTS.LOG %SystemRoot%\System32\config\COMPONENTS.LOG1 %SystemRoot%\System32\config\COMPONENTS.LOG2 Volatile hive %SystemRoot%\System32\config\SAM %SystemRoot%\System32\config\SAM.LOG %SystemRoot%\System32\config\SAM.LOG1 %SystemRoot%\System32\config\SAM.LOG2 %SystemRoot%\System32\config\SECURITY %SystemRoot%\System32\config\SECURITY.LOG %SystemRoot%\System32\config\SECURITY.LOG1 %SystemRoot%\System32\config\SECURITY.LOG2 %SystemRoot%\System32\config\SOFTWARE %SystemRoot%\System32\config\SOFTWARE.LOG %SystemRoot%\System32\config\SOFTWARE.LOG1 %SystemRoot%\System32\config\SOFTWARE.LOG2 %SystemRoot%\System32\config\SYSTEM %SystemRoot%\System32\config\SYSTEM.LOG %SystemRoot%\System32\config\SYSTEM.LOG1 %SystemRoot%\System32\config\SYSTEM.LOG2 17
레지스트리소개 HKEY_LOCAL_MACHINE (HKLM) 하위키내용 BCD00000000 Boot Configuration Data 관리 (XP 의 Boot.ini 대체 ) COMPONENTS 설치된 Components 와관련된정보관리 HARDWARE 시스템하드웨어디스크립션과모든하드웨어의장치드라이버매핑정보 (Volatile hive) SAM 로컬계정정보와그룹정보 ( 시스템계정만접근가능 ) SECURITY 시스템보안정책과권한할당정보 ( 시스템계정만접근가능 ) SOFTWARE 시스템부팅에필요없는시스템전역구성정보 ( 소프트웨어정보 ) SYSTEM 시스템부팅에필요한시스템전역구성정보 부팅시 HKLM\SYSTEM 하이브는물리메모리로로드되기때문에하이브파일크기에제한 18
레지스트리소개 HKEY_LOCAL_MACHINE (HKLM) HKLM\SYSTEM\CurrentControlSet 디바이스드라이버와서비스등의시스템환경설정정보 ControlSet00N 에대한링크 Select 키의 Current 값에따라현재사용중인 ControlSet 확인 19
레지스트리소개 HKEY_USERS (HKU) 하위키구성 모든사용자의프로파일과사용자클래스등록정보 HKU 하위키 HKU\<LocalServices SID> HKU\<NetworkServices SID> HKU\<User SID> HKU\<User SID>_Classes 하이브파일위치 XP %UserProfile%\LocalService\NTUSER.DAT Vista/7 - %SystemRoot%\ServiceProfiles\LocalService\NTUSER.DAT XP %UserProfile%\NetworkService\NTUSER.DAT Vista/7 - %SystemRoot%\ServiceProfiles\NetworkService\NTUSER.DAT XP %UserProfile%\<UserName>\NTUSER.DAT Vista/7 - %UserProfile%\NTUSER.DAT XP %UserProfile%\<UserName>\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Vista/7 %UserProfile%\AppData\Local\Microsoft\Windows\UsrClass.dat HKU\.DEFAULT %SystemRoot%\System32\Config\DEFAULT 20
레지스트리소개 HKEY_CURRENT_CONFIG (HKCC) 하위키구성 별도의하이브파일을가지지않음 현재활성화되어있는하드웨어프로파일정보참조 HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current 의링크 21
레지스트리소개 HKEY_PERFORMANCE_DATA (HKPD) HKPD 성능카운터 (http://msdn.microsoft.com/en-us/library/aa371643(v=vs.85).aspx) 시스템의성능을측정하여관리하는메커니즘 운영체제, 응용프로그램에서활용 레지스트리편집기를통해접근불가 RegQueryValueEx() 와같은레지스트리함수를통해접근가능 22
레지스트리소개 Transactional Registry (TxR) 트랜잭션레지스트리 (TxR) (http://forensic.korea.ac.kr/~webmaster/xe/?document_srl=2016) Vista 이전레지스트리에서는트랜잭션동작을관리하기어려웠음 Vista 부터 KTM(Kernel Transaction Manager) 에의해오류복구가가능한트랜잭션기능사용가능 Not-Transaction API RegOpenKey RegCreateKey RegDeleteKey Transaction API RegOpenKeyTransacted RegCreateKeyTransacted RegDeleteKeyTransacted 23
레지스트리소개 Transactional Registry (TxR) 트랜잭션레지스트리 (TxR) 레지스트리트랜잭션정보는파일로저장 %SystemRoot%\System32\config\TxR %FILE%{%GUID%}.TM.blf %FILE%{%GUID%}.TMContainer00000000000000000001.regtrans-ms %FILE%{%GUID%}.TMContainer00000000000000000002.regtrans-ms %FILE%{%GUID%}.TxR.blf %FILE%{%GUID%}.TxR.0.regtrans-ms %FILE%{%GUID%}.TxR.1.regtrans-ms %FILE%{%GUID%}.TxR.2.regtrans-ms 24
레지스트리소개 Transactional Registry (TxR) 트랜잭션레지스트리 (TxR) 로그정보는 TxR.{0 1 2}.regtrans-ms 파일에저장 ( 기본 5MB) Header Block Data Block 25
레지스트리획득 Security is a people problem 26
레지스트리획득 레지스트리파일 ( 하이브 ) 획득방안 온라인하이브파일획득 일반적으로레지스트리파일은커널에서열고있기때문에획득불가능 직접파일시스템을해석하거나 DeviceIoControl() API 를이용하여획득 하이브목록확인 HKLM\SYSTEM\CurrentControlSet\Control\hivelist 오프라인하이브파일획득 복제한저장매체혹은이미징데이터에서하이브파일추출 각운영체제버전별하이브파일위치확인필요 %SystemRoot%\System32\Config %UserProfile% 목록확인 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList 27
레지스트리획득 하이브파일위치 하이브레지스트리경로 레지스트리경로 HKEY_LOCAL_MACHINE\BCD00000000 HEKY_LOCAL_MACHINE\COMPONENTS HEKY_LOCAL_MACHINE\SYSTEM HEKY_LOCAL_MACHINE\SAM HEKY_LOCAL_MACHINE\SECURITY HEKY_LOCAL_MACHINE\SOFTWARE HEKY_LOCAL_MACHINE\HARDWARE HKEY_USERS\<SID of local service account> HKEY_USERS\<SID of network service account> HKEY_USERS\<SID of username> HKEY_USERS\<SID of username>_classes HKEY_USERS\.DEFAULT 하이브파일경로 {Boot Partition}\Boot\BCD %SystemRoot%\System32\Config\COMPONENTS %SystemRoot%\System32\Config\SYSTEM %SystemRoot%\System32\Config\SAM %SystemRoot%\System32\Config\SECURITY %SystemRoot%\System32\Config\SOFTWARE Volatile %SystemRoot%\ServiceProfiles\LocalService\NTUSER.DAT %SystemRoot%\ServiceProfiles\NetworkService\NTUSER.DAT %UserProfile%\NTUSER.DAT %UserProfile%\AppData\Local\Microsoft\Windows\Usrclass.dat %SystemRoot%\System32\Config\DEFAULT 28
레지스트리획득 백업및로그하이브 백업되거나로그로생성된하이브파일 운영체제에의해하이브파일은백업되거나관련로그가생성됨 백업하이브 - %SystemRoot%\System32\config\RegBack 로그하이브 %SystemRoot%\System32\config ( 기본 / 백업하이브로그 (.LOG,.LOG1,.LOG2)) 로그파일도동일한하이브구조를가짐 백업이나로그하이브파일은기존하이브파일의일부정보만저장 29
레지스트리획득 트랜잭션레지스트리로그획득 TxR 레지스트리로그획득 %SystemRoot%\System32\config\TxR 30
레지스트리획득 XP 시스템복원지점 XP 시스템복원지점에서의하이브스냅샷 시스템복원을위해레지스트리하이브파일스냅샷백업 백업된스냅샷파일은시스템복원정보저장시점의사용자흔적파악에큰도움 \System Volume Information\_restore{GUID}\RP##\snapshot 31
레지스트리획득 Vista/7 시스템복원지점 VSS (Volume Shadow Copy) 내의하이브백업 비스타이후부터는시스템복원지점을위해 VSS 사용 VSS 복사본에하이브데이터가저장될수있음 32
레지스트리획득 레지스트리온라인하이브획득도구 RegEx RegEx 활성시스템에서의레지스트리하이브파일수집도구 http://forensic.korea.ac.kr 33
레지스트리내부 Security is a people problem 34
레지스트리내부 하이브구조 하이브블록 (Hive Block) 파일시스템클러스터와같이하이브에서사용하는논리적인할당단위 블록크기 : 4,096 바이트 새로운데이터가하이브에추가되면항상블록단위로증가 하이브의첫번째블록은베이스블록 (base block) 시그니처 ( regf ) 갱신순서번호 마지막수정시간 레지스트리복원 / 복구에관한정보 하이브포맷버전번호 체크섬 파일명 35
레지스트리내부 하이브구조 하이브빈 (Hive Bin) 레지스트리의논리적인크기는블록단위로증가 블록내부적으로데이터를저장하기위한 4,096 바이트의구조 레지스트리로드시하이브빈단위를기준으로로드 모든하이브빈은 hbin 이라는시그니처값으로시작 36
레지스트리내부 하이브구조 셀 (Cell) 하이브내의다양한데이터는셀구조로저장 (8 바이트의배수 ) 데이터유형 키셀 (Key Cell) 값셀 (Value Cell) 설명 레지스트리키가들어있는셀로시그니처, 타임스탬프, 부모키인덱스, 서브키인덱스, 키이름등을저장 키에대한값이들어있는셀로시그니처, 값유형, 값이름등이저장 하위키목록셀 (Subkey-list Cell) 부모키의모든하위키셀의인덱스목록저장 값목록셀 (Value-list Cell) 부모키의모든값셀의인덱스목록저장 데이터셀 (Data Cell) 데이터를저장하는셀 (Big Data Cell, Normal Data Cell) 보안기술자셀 (Security-descriptor Cell) 보안기술자저장 37
레지스트리내부 하이브구조 셀맵 (Cell Map) 레지스트리접근시매번하이브파일에접근하지않음 하이브접근을위해하이브일부분을메모리에매핑 메모리내의불연속적인하이브데이터를참조하기위해셀맵을이용한셀인덱스사용 셀인덱스 디렉터리인덱스테이블인덱스바이트오프셋 32 0 0 셀맵디렉터리 0 셀맵테이블 대상블록 셀 ~ ~ ~ ~ 1023 셀맵디렉터리포인트 511 38
레지스트리내부 하이브구조 (http://technet.microsoft.com/en-us/library/cc750583.aspx) Block(4KB) Block Block (Hive bin) (Hive bin) Base Block Empty Bin Root Val1 Sub Key Val2 Key Cell (Key node) Subkey-List Cell Value-List Cell Value Cell 39
레지스트리내부 하이브구조 Hive Header Hive Bin 1 Hive Bin 2 Hive Bin 3 Hive Bin 4... Hive Bin N 블록크기 4,096 bytes 하이브헤더 (Hive Header) 1 블록 하이브빈 (Hive Bin) 셀 (Cell) 을포함하는컨테이너가변길이의블록모든하이브빈은 hbin 이라는시그니처값으로시작레지스트리로드시하이브빈단위를기준함 셀 (Cell) 실제데이터를저장하는단위 (8 바이트의배수 ) 키 (key), 하위키목록 (subkey-list), 값 (value), 값목록 (value list), 데이터 (data), 보안기술자 (security descriptor) 등의유형이있음 40
레지스트리내부 예 ) HKLM\SYSTEM\MountedDevices (\DosDevices\C:) 분석 41
레지스트리내부 예 ) HKLM\SYSTEM\MountedDevices (\DosDevices\C:) 분석 Hive Header Hive Bin 1 Hive Bin 2 Hive Bin 3 Hive Bin 4... Hive Bin N 0 1 2 3 4 5 6 7 8 9 A B C D E F 0000 r e g f seq num 1 seq num 2 Timestamp 0010 (FILETIME) major ver minor ver Type (?) 0020 Format (?) Start of Root Cell Start of last hbin Always 1 0030 0040 0050 0060 0070 Hive file path or name (Unicode, 64 bytes) GUID 0080 GUID 0090 Unknown GUID 00A0 Unknown 01F0 Checksum 0x20 + 0x1000 = 0x1020 42
레지스트리내부 예 ) HKLM\SYSTEM\MountedDevices (\DosDevices\C:) 분석 Hive Header Hive Bin 1 Hive Bin 2 Hive Bin 3 Hive Bin 4... Hive Bin N 43
레지스트리내부 예 ) HKLM\SYSTEM\MountedDevices (\DosDevices\C:) 분석 Hive Header Hive Bin 1 Hive Bin 2 Hive Bin 3 Hive Bin 4 Hive Bin Header Cell 1 Cell 2 Cell 3... Cell N 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 0000 h b i n Offset Size 0010 Timestamp offset of this hbin (+ 0x1000) 0x1000 (4096) bytes... Hive Bin N 44
레지스트리내부 예 ) HKLM\SYSTEM\MountedDevices (\DosDevices\C:) 분석 Hive Header Hive Bin 1 Hive Bin 2 Hive Bin 3 Hive Bin 4 Hive Bin Header Cell 1 Cell 2 Cell 3... Cell N 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 0000 Cell Size 0010 One of the Key (nk), Subkey-list (lf, lh, ri, li), Value (vk), Value-list, Security (sk), and Data 00XX 00XX Cell Size Negative if allocated 0xFFFFFF78 = -136 One of the Key (nk), Subkey-list (lf, lh, ri, li), Value (vk), Value-list, Security (sk), and Data... Hive Bin N 136 45
레지스트리내부 예 ) HKLM\SYSTEM\MountedDevices (\DosDevices\C:) 분석 Hive Header Hive Bin 1 Hive Bin 2 Hive Bin 3 Hive Bin 4 Hive Bin Header Cell 1 Cell 2 Cell 3... Cell N... Hive Bin N 46
레지스트리내부 예 ) HKLM\SYSTEM\MountedDevices (\DosDevices\C:) 분석 0x1020 Hive Header Hive Bin Header Key Cell 0 1 2 3 4 5 6 7 8 9 A B C D E F 0000 Cell Size n k Flag Timestamp Root Key Cell... Hive Bin Header Value-list Cell... Hive Bin Header 0010 Unknown Parent key offset Num of subkeys (stable) Num of subkeys (volatile) 0020 Subkey-list offset Subkey-list offset Num of values Value-list offset 0030 Security offset Classname offset Max name length of subkeys Max classname length of subkeys 0040 Max name length of values Max value data size Unknown Keyname len Classname len 0050 0060 Key name 0x0004 : Root, 0x0008 : cannot be deleted 0x0020 : key name is stored in ASCII Value Cell Data Cell... Hive Bin Header Key Cell 0x0011C0B8 + 0x1000 = 0x0011D0B8 Subkey-list Cell 47
레지스트리내부 예 ) HKLM\SYSTEM\MountedDevices (\DosDevices\C:) 분석 키플래그 (Key Flags) 플래그 0x0001 0x0002 0x0004 0x0008 0x0010 설명휘발성키다른하이브의마운트지점루트키삭제할수없는키링크된키 0x0020 키이름을 ASCII 로저장 ( 보통은 UTF-16LE 로저장 ) 0x0040 0x0080 0x1000 0x4000 미리정의된키알수없음알수없음알수없음 48
레지스트리내부 예 ) HKLM\SYSTEM\MountedDevices (\DosDevices\C:) 분석 Hive Header Hive Bin Header Root Key Cell... Hive Bin Header Value-list Cell... Hive Bin Header Subkey-list Cell (ri : Index Root, li: Index Leaf) 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 0000 Cell Size r i Num Subkey-list offset Subkey-list offset 0010 Subkey-list offset Subkey-list offset Subkey-list offset Subkey-list Cell (lf: Fast Leaf, lh: Hash Leaf) 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 0000 Cell Size l f Num Key (nk) offset hash value 0010 Key (nk) offset hash value Key (nk) offset hash value 0x2DD398 + 0x1000 = 0x2DE398 Value Cell Data Cell... Hive Bin Header Key Cell Subkey-list Cell 49
레지스트리내부 예 ) HKLM\SYSTEM\MountedDevices (\DosDevices\C:) 분석 Hive Header Hive Bin Header Root Key Cell Key Cell 0 1 2 3 4 5 6 7 8 9 A B C D E F 0000 Cell Size n k Flag Timestamp 0010 Unknown Parent key offset Num of subkeys (stable) Num of subkeys (volatile) 0020 Subkey-list offset Subkey-list offset Num of values Value-list offset... Hive Bin Header Value-list Cell... 0030 Security cell offset Classname offset Max name length of subkeys Max classname length of subkeys 0040 Max name length of values Max value data size Unknown Keyname len Classname len 0050 0060 Key name Hive Bin Header Value Cell Data Cell... Hive Bin Header Key Cell Subkey-list Cell 0x00D57918 + 0x1000 = 0x00D58918 0x0020 : key name is stored in ASCII 50
레지스트리내부 예 ) HKLM\SYSTEM\MountedDevices (\DosDevices\C:) 분석 Hive Header Hive Bin Header Root Key Cell Value-list Cell 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 0000 Cell Size Value offset Value offset Value offset 0010 Value offset Value offset Value offset... Hive Bin Header Value-list Cell... Hive Bin Header Value Cell Data Cell... 0x002DD3F8 + 0x1000 = 0x002DE3F8 Hive Bin Header Key Cell Subkey-list Cell 51
레지스트리내부 예 ) HKLM\SYSTEM\MountedDevices (\DosDevices\C:) 분석 Hive Header Hive Bin Header Root Key Cell... Value Cell 0 1 2 3 4 5 6 7 8 9 A B C D E F 0000 Cell Size v k Name len Data length Data offset 0010 Data Type Flag Unknown 0020 Value Name Hive Bin Header Value-list Cell 0x002DD420 + 0x1000 = 0x002DE420... Hive Bin Header Value Cell Data Cell... Hive Bin Header 0x0001 : value name is stored in ASCII, otherwise it is in Unicode Key Cell Subkey-list Cell 52
레지스트리내부 예 ) HKLM\SYSTEM\MountedDevices (\DosDevices\C:) 분석 데이터형식 (Data Type) 값 이름 설명 0x00 REG_NONE 형식없음 0x01 REG_SZ UTF-16 문자열 0x02 REG_EXPAND_SZ 시스템경로로사용하는 UTF-16 문자열 ( 예, %SYSTEMROOT% ) 0x03 REG_BINARY 이진데이터 0x04 REG_DWORD 32비트정수 0x04 REG_DWORD_LITTLE_ENDIAN 32비트정수 0x05 REG_DWORD_BIG_ENDIGN 32비트빅엔디안정수 0x06 REG_LINK 심볼릭링크 0x07 REG_MULTI_SZ NULL로끝나는유니코드문자열배열 0x08 REG_RESOURCE_LIST 하드웨어리소스설명 0x09 REG_RESOURCE_DESCRIPTOR 하드웨어리소스설명 0x0A REG_RESOURCE_REQUIREMENTS_LIST 리소스요구사항 0x0B REG_QWORD 64비트정수 0x0B REG_QWORD_LITTTLE_ENDIAN 64비트정수 53
레지스트리내부 예 ) HKLM\SYSTEM\MountedDevices (\DosDevices\C:) 분석 Hive Header Hive Bin Header Root Key Cell... Hive Bin Header Value-list Cell... Hive Bin Header Value Cell Big Data Cell Version 1.4 or later, Data size > 16344 bytes 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 0000 Cell Size d b Num of frag Indirect cell offset Unknown Big Data Indirect Cell 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 0000 Cell Size Data offset Data offset Data offset Data offset (Normal) Data Cell 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 0000 Cell Size Data Data Cell... Hive Bin Header Key Cell Subkey-list Cell 54
레지스트리복구 Security is a people problem 55
레지스트리복구 레지스트리복구분류 삭제된레지스트리복구 레지스트리하이브내부로부터삭제된레지스트리복구 윈도우레지스트리 API 를이용해서키 (key) 를삭제하는경우해당키와관련된링크정보만삭제 해당키와관련된실제데이터는하이브파일내의비할당영역에그대로유지됨 레지스트리데이터카빙 물리메모리로부터레지스트리데이터카빙 커널영역에레지스트리데이터에대한캐쉬영역존재 물리적인하이브파일과매핑되어있음 응용프로그램수행과정에서사용된 ( 생성 / 읽기 / 쓰기 / 삭제 ) 레지스트리정보는레지스트리에존재 각프로세스영역을통해특정프로세스가사용한레지스트리정보확인 저장매체의비할당영역으로부터레지스트리데이터카빙 파일시스템포맷으로인해이전시스템의레지스트리데이터가저장매체의비할당영역에존재할가능성 시스템복원지점생성시레지스트리복사후폴더압축에의해비할당영역에존재할가능성 (2000/XP) 56
레지스트리복구 물리메모리카빙 CMHIVE 카빙 (http://www.dfrws.org/2008/proceedings/p26-dolan-gavitt.pdf) 레지스트리하이브는메모리에서 CMHIVE 구조로표현 (http://www.nirsoft.net/kernel_struct/vista/cmhive.html) CHHIVE 구조를카빙하여레지스트리정보를획득 Volatility Plugin (http://moyix.blogspot.com/2009/01/memory-registry-tools.html) (1.4 버전부터포함 ) hivescan hivelist printkey hashdump lasdump cachedump 57
레지스트리복구 파일시스템비할당영역카빙 레지스트리시그니처카빙 (http://seclab.hdu.edu.cn/%e5%ae%9e%e9%aa%8c%e5%ae%a4%e8%ae%ba%e6%96%87 /2009/Carving%20the%20windows%20registry%20files%20based%20on%20the%20internal%20structure.PDF) 레지스트리를구성하는블록, 빈, 셀등은고유한시그니처를가짐 비할당영역으로부터시그니처를카빙후레지스트리구조재구성 레지스트리구조 Hive Hive Bin Key Node Key Link Key Value Key Security Folder List Hash List Index List Index recursive 시그니처 regf hbin nk lk vk sk lf lh li ri 58
레지스트리복구 레지스트리하이브내의비할당영역카빙 레지스트리시그니처카빙 레지스트리를구성하는셀 (key, key-list, value, value-list, data 등 ) 은고유한시그니처를가짐 하이브파일내의비할당영역에대해서레지스트리시그니처카빙 정상적으로존재하는데이터와의연결관계를분석하여, 삭제된항목연결 REGA (http://forensic.korea.ac.kr) 59
Security is a people problem 60
레지스트리디지털포렌식분석 레지스트리분석의디지털포렌식적의미 윈도우설치정보와계정정보등확인가능 윈도우부팅시자동실행되는응용프로그램목록확인가능 악성코드분석 최근사용한파일, 실행프로그램등의사용자활동내역확인가능 응용프로그램설치정보와사용내역등확인가능 시스템에사용한하드웨어정보확인가능 추가적인포렌식분석대상선별가능 윈도우포렌식분석의필수요소 61
시스템정보 (1/5) 기본시스템정보 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion 활성정보수집시 systeminfo 명령을사용 C:\> systeminfo 62
시스템정보 (2/5) 기본시스템정보 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion ProductName 운영체제이름 Owner 사용자이름 Organization 조직이름 ProductId 운영체제식별자 BuildLab(Ex) 운영체제세부버전 InstallDate 운영체제설치날짜 ( 유닉스시간형식 ) SystemRoot 운영체제설치루트폴더 63
시스템정보 (3/5) 컴퓨터이름 HKLM\SYSTEM\ControlSet00X\Control\ComputerName\ActiveComputerName ComputerName 시스템등록정보에등록된컴퓨터이름 64
시스템정보 (4/5) 컴퓨터이름 HKLM\SYSTEM\ControlSet00X\Control\ComputerName\ActiveComputerName ComputerName 시스템등록정보에등록된컴퓨터이름 65
시스템정보 (5/5) 시스템마지막종료시각 HKLM\SYSTEM\ControlSet00X\Control\Windows ShutdownTime 마지막종료시각저장 http://www.digital-detective.co.uk/freetools/decode.asp 66
표준시간대와날짜변경흔적 표준시간대 HKLM\SYSTEM\ControlSet00X\Control\TimeZoneInformation UTC/GMT 표준시간대 썸머타임관련정보 67
표준시간대와날짜변경흔적 날짜변경흔적 (2000/XP/Vista) HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\ {75048700-EF1F-11D0-9888-006097DEACF9}\Count 날짜및시간등록정보대화상자가활성화된횟수 68
표준시간대와날짜변경흔적 날짜변경흔적 (2000/XP/Vista) HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\ {75048700-EF1F-11D0-9888-006097DEACF9}\Count HRZR_EHAPCY:gvzrqngr.pcy ROT-13: UEME_RUNCPL:timedata.cpl 4 7 : 작업표시줄을통해대화상자를연횟수 ( 초기값 5) 8 15 : 대화상자가마지막으로열린시각 ( 변경된시각을의미하지는않음 ) 69
응용프로그램정보 (1/12) 응용프로그램사용로그 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist 2000/XP/Vista {5E6AB780-7743-11CF-A12B-00AA004AE837}\Count {75048700-EF1F-11D0-9888-006097DEACF9}\Count 7 {CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count {F4E57C4B-2036-45F0-A9AB-443BCFE33D9F}\Count 70
응용프로그램정보 (2/12) 응용프로그램사용로그 (ROT-13 인코딩 http://web.forret.com/tools/rot13.asp) HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count 71
응용프로그램정보 (3/12) 응용프로그램사용로그 ROT-13 인코딩 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z DFRC QSEP 72
응용프로그램정보 (4/12) 응용프로그램사용로그 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count 응용프로그램종류, 최종실행시각, 실행횟수, 세션아이디확인가능 73
응용프로그램정보 (5/12) 응용프로그램사용로그 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count 2000/XP/Vista 로그포맷 0 3 : 세션번호 4 7 : 응용프로그램실행횟수 ( 초기값 5) 8 15 : 응용프로그램마지막실행시간 74
응용프로그램정보 (6/12) 응용프로그램사용로그 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count 7 로그포맷 0 3 : 세션번호 4 7 : 응용프로그램실행횟수 ( 초가값은응용프로그램에따라다름 ) 60 67 : 응용프로그램마지막실행시간 75
응용프로그램정보 (7/12) 그림판에서열어본파일목록 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\Paint\Recent File List File# 숫자가낮을수록최근에열어본파일 ( 그림판을종료하는시점에값저장 ) 76
응용프로그램정보 (8/12) 워드패드에서열어본파일목록 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\wordpad\Recent File List File# 숫자가낮을수록최근에열어본파일 ( 워드패드를종료하는시점에값저장 ) 77
응용프로그램정보 (9/12) MS OFFICE 사용흔적 (http://accessdata.com/downloads/media/microsoft_office_2007-2010_registry_artifactsfinal.pdf) 최근열린폴더 HKU\{USER}\SOFTWARE\Microsoft\Office\{VERSION}\{APP}\Place MRU 최근사용한파일 HKU\{USER}\SOFTWARE\Microsoft\Office\{VERSION}\{APP}\File MRU(Recent Files) 각응용프로그램및버전별로다양한흔적저장 최근열린폴더, 최근사용한파일, 최근사용한페이지, 최근접근한 URL 등등 78
응용프로그램정보 (10/12) 한글사용흔적 최근사용한파일 한글 2005 HKU\{USER}\SOFTWARE\HNC\Hwp\6.5\RecentFile 한글 2007 HKU\{USER}\SOFTWARE\HNC\Hwp\7.0\HwpFrame\RecentFile 한글 2010 HKU\{USER}\SOFTWARE\HNC\Hwp\8.0\HwpFrame\RecentFile 찾기 / 바꾸기목록 HKU\{USER}\SOFTWARE\HNC\Hwp\FindReplace\Find 79
응용프로그램정보 (11/12) 곰플레이어사용흔적 HKU\{USER}\SOFTWARE\GRETECH\GomPlayer\OPTION 최근열린폴더, 최근사용한파일목록, 다양한설정정보저장 80
응용프로그램정보 (12/12) 다양한응용프로그램사용흔적 WinRAR Archive History HKU\{USER}\SOFTWARE\WinRAR\ArcHistory HKU\{USER}\SOFTWARE\WinRAR\DialogEditHistory\ArcName XP MediaPlayer Recent Files HKU\{USER}\SOFTWARE\Microsoft\MediaPlayer\Player\RecentFileList XP MediaPlayer Recent URLs HKU\{USER}\SOFTWARE\Microsoft\MediaPlayer\Player\RecentURLList Adobe Acrobat Reader HKU\{USER}\SOFTWARE\Adobe\Adobe Acrobat\{version}\AVGeneral\cRecentFiles HKU\{USER}\SOFTWARE\Adobe\Acrobat Reader\{version}\AVGeneral\cRecentFiles 81
사용자계정정보 (1/7) 시스템사용자목록 HKLM\SAM\SAM\Domains\Account\Users\{RID} 각사용자의계정정보는 Users 의하위키인 {RID}(R = Relative, ID = ID) 폴더의 F, V 값에저장 82
사용자계정정보 (2/7) 시스템사용자목록 HKLM\SAM\SAM\Domains\Account\Users\{RID} F 값에저장되는계정정보 최종로그인시각 패스워드재설정시각 계정만료시각 로그인실패시각 RID (SID 의마지막식별부분 ) 계정상태정보 ( 활성화 / 비활성, 패스워드설정 / 비설정 ) 국가코드 ( 국제전화에사용되는코드 ) 로그인실패횟수 로그인성공횟수 83
사용자계정정보 (3/7) 시스템사용자목록 HKLM\SAM\SAM\Domains\Account\Users\{RID} V 값에저장되는계정정보 로그인계정이름 전체이름 계정설명 LM 해쉬 NT 해쉬 84
사용자계정정보 (4/7) 시스템사용자프로필목록 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\{SID} 하위키인사용자 {SID} 별로사용자프로필정보저장 85
사용자계정정보 (5/7) 시스템사용자프로필목록 SID(Security Identifier, 보안식별자 ) S 1 5 21 2620438411 1775267088 1075560328 1000 SID 구분 S 설명 SID 를나타내는식별자 1 SID 세부버전 5 권한식별자 21 2620438411 1775267088 1075560328 도메인이나로컬컴퓨터식별자 1000 RID(Relative ID) 로관리자계정은 500, 사용자계정은 1000 번이상의값을가짐 권한식별자 (Authority Identifier) 0 Null Authority 4 Non-unique Authority 1 World Authority 5 NT Authority 2 Local Authority 9 Resource Manager Authority 3 Creator Authority 86
사용자계정정보 (6/7) 마지막으로로그인한사용자 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon DefaultUserName 값이마지막으로로그인한사용자를나타냄 87
사용자계정정보 (7/7) 사용자별기본경로 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 각사용자별기본경로저장 88
윈도우검색정보 (1/5) 2000/XP 검색어목록 HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\#### 윈도우 2000/XP 탐색기에서검색을사용할경우검색어목록 89
윈도우검색정보 (2/5) 2000/XP 검색어목록 HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\#### 인터넷검색 HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\5001 모든파일및폴더검색 HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\5603 파일에들어있는단어나문장 / 그림, 음악또는비디오검색 HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\5604 프린터, 컴퓨터또는사람 / 네트워크에있는컴퓨터 / 컴퓨터찾기검색 HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\5647 90
윈도우검색정보 (3/5) 2000/XP 검색어목록 HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\5603 번호가낮을수록최근에검색한검색어 91
윈도우검색정보 (4/5) 7 검색어목록 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery 윈도우 7 탐색기에서검색을사용할경우검색어목록 참고로 Vista 의경우검색어목록을레지스트리에저장하지않음 92
윈도우검색정보 (5/5) 7 검색어목록 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery MRUListEx 키값을통해검색어사용순서확인 10 0F 0E 0D 0C 0B 0A 04 09 08 07 06 05 03 02 01 00 93
최근접근흔적 (1/2) 최근에열어본파일 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs 최근에열었던문서, 그림, 음악, 동영상등의파일 2000/XP My Recent Documents Vista/7 Recent Items 94
최근접근흔적 (2/2) 최근에열어본파일 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs MRUListEx 키값을통해열어본순서확인 95
최근실행흔적 (1/2) 최근에실행한명령 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU 시작 실행 또는 Ctrl + R 를통해실행한명령목록 96
최근실행흔적 (2/2) 최근에실행한명령 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU 최근실행한명령순서는 MRUList 의알파벳순서 dieajbhgfc Mspaint calc regedit cmd regedt32 97
USB 장치연결정보 (1/12) USB 저장매체인식절차 1. USB 저장매체가연결되면버스드라이버는 PnP 관리자에게 장치의고유한식별번호 (device descriptor) 를사용하여연결알림 device descriptor 제조사, 일련번호, 드라이버정보등을포함 2. PnP 관리자는받은정보를기반으로 Device Class ID 를설정하고적절한드라이버검색 3. 드라이버가없을경우사용자모드의 PnP 관리자는해당장치의펌웨어로부터드라이버를전달받아로드하고레지스트리에기록 HKLM\SYSTEM\ControlSet00X\Enum\USBSTOR\{DID, device class identifier} HKLM\SYSTEM\ControlSet00X\Control\DeviceClasses\{GUID} 4. 장치드라이버설치과정은로그파일에저장 결과적으로로그파일 (setupapi.log) 및레지스트리를통해 USB 장치의흔적파악가능 98
USB 장치연결정보 (2/12) 레지스트리키마지막수정시간정보확인시주의사항 각레지스트리키에는해당키의마지막수정시간이저장 마지막수정시간정보를활용하여 USB 의다양한흔적파악가능 단, Enum\USB, Enum\USBSTOR 하위키의시간은고려되지않아야함 보안정책에의해 ( 윈도우 Vista/7) PnP 관리자가하위키보안토큰설정을위해수시로접근 RegSetKeySecurity API 호출 마지막수정시간변경 99
USB 장치연결정보 (3/12) SetupAPI Logging 2000/XP %SystemRoot%\Setupapi.log Vista/7 %SystemRoot%\inf\Setupapi.dev.log Device Class ID Disk&Ven_Corsair&Prod_UFD&Rev_0.00 Unique Instance ID ddf08fb7a86075&0 Section Start 2010/12/13 01:32:38.960 100
USB 장치연결정보 (4/12) DID(Device class ID), UID(Unique Instance ID) 형식 Device Class ID Disk&Ven_Corsair&Prod_UFD&Rev_0.00 Disk & Ven_????? & Prod_????? & Rev_???? Disk & Ven_{ 제조사명 } & Prod_{ 제품명 } & Rev_{ 버전번호 } Unique Instance ID ddf08fb7a86075&0????????????? & # 시리얼번호가있는경우 { 시리얼번호 } & # # &??????????? & # # & {PnP 관리자생성번호 } & # 시리얼번호가없는경우 101
USB 장치연결정보 (5/12) 저장매체정보 HKLM\SYSTEM\ControlSet00X\Enum\USBSTOR Device Class ID 형식을통해제조사, 제품명, 버전정보확인 102
USB 장치연결정보 (6/12) 시리얼번호 HKLM\SYSTEM\ControlSet00X\Enum\USBSTOR\{Device Class ID} Device Class ID 하위키의 Unique Instance ID 형식을통해시리얼번호확인 103
USB 장치연결정보 (7/12) 제조사 ID, 제품 ID HKLM\SYSTEM\ControlSet00X\Enum\USB VID_####&PID_#### 제조사 ID, 제품 ID 104
USB 장치연결정보 (8/12) 연결된볼륨명 HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices 하위키중제품명또는시리얼번호를포함하는키검색 FriendlyName 장치명이설정된경우 설정한장치명 장치명이설정되지않은경우 연결된볼륨명 105
USB 장치연결정보 (9/12) 최초연결시각 HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices 하위키중제품명또는시리얼번호를포함하는키검색 해당키의마지막수정시간 (Last Written Time) 장치명이설정된경우 장치명을변경하지않는다면최초연결시간유지 장치명이설정되지않은경우 연결된볼륨명이변경되지않고계속사용되면최초연결시간유지 106
USB 장치연결정보 (10/12) 부팅이후최초연결시각 HKLM\SYSTEM\ControlSet00X\Control\DeviceClasses\{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} GUID for Disk HKLM\SYSTEM\ControlSet00X\Control\DeviceClasses\{53F5630D-B6BF-11D0-94F2-00A0C91EFB8B} GUID for Volume HKLM\SYSTEM\ControlSet00X\Control\DeviceClasses\{A5DCBF10-6530-11D2-901F-00C04FB951ED} GUID for USB HKLM\SYSTEM\ControlSet00X\Control\DeviceClasses\{6AC27878-A6FA-4155-BA85-F98F491D4F33} GUID for Windows Portable Device (Vista or later) HKLM\SYSTEM\ControlSet00X\Enum\USBSTOR\[Device Class ID] 하위키중제품명이나시리얼번호를포함하는키검색 해당키의마지막수정시간 (Last Written Time) Enum\USBSTOR 를통해서도확인이가능하지만보안정책에의한시간정보임의갱신으로바람직하지않음 107
USB 장치연결정보 (11/12) 마지막연결시각 HKU\{USER}\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoint2 HKLM\SYSTEM\ControlSetXXX\Enum\USB\VID_####&PID_#### 하위키중 Volume GUID 또는시리얼번호를포함하는키검색 해당키의마지막수정시간 (Last Written Time) Enum\USB 를통해서도확인이가능하지만보안정책에의한시간정보임의갱신으로바람직하지않음 108
USB 장치연결정보 (12/12) 마지막연결 / 해제시간 HKLM\SYSTEM\ControlSet00X\Control\DeviceClasses\{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} \##?#USBSTOR#...[Serial Number]...{\ \#\}Control HKLM\SYSTEM\ControlSet00X\Control\DeviceClasses\{53F5630D-B6BF-11D0-94F2-00A0C91EFB8B} \##?#USBSTOR#...[Serial Number]...{\ \#\}Control HKLM\SYSTEM\ControlSet00X\Control\DeviceClasses\{A5DCBF10-6530-11D2-901F-00C04FB951ED} \##?#USBSTOR#...[Serial Number]...{\ \#\}Control HKLM\SYSTEM\ControlSet00X\Control\DeviceClasses\{6AC27878-A6FA-4155-BA85-F98F491D4F33} \##?#USBSTOR#...[Serial Number]...{\ \#\}Control 장치가연결 / 해제되면 Control 키의시간이변경됨 Control 키의마지막수정시간 (Last Written Time) USB 연결상태 USB 의마지막연결시간 USB 해제상태 마지막연결연결해제시간 단, Control 키는활성상태에서만유지되므로오프라인레지스트리분석은불가능 109
연결된저장장치정보 (1/5) 마운트된저장장치 HKLM\SYSTEM\MountedDevices 110
연결된저장장치정보 (2/5) 마운트된저장장치 HKLM\SYSTEM\MountedDevices 데이터를통해해당드라이브에마운트된장치형식확인가능 111
연결된저장장치정보 (3/5) 마운트된저장장치 디스크시그니처 (Disk Signature) 시스템에는총 3 개의디스크가마운트 디스크 1 C, D 드라이브 ( 파티션 ) 사용 디스크 2 E 드라이브 ( 파티션 ) 사용 디스크 3 F, G 드라이브 ( 파티션 ) 사용 112
연결된저장장치정보 (4/5) 마운트된저장장치 디스크시그니처 (Disk Signature) C, D 드라이브마운트정보 MBR 디스크시그니처 + 파티션시작위치 0x86C3D8DA + 0x0000000006500000 MBR (Master Boot Record) 113
연결된저장장치정보 (5/5) 마운트된저장장치 외장형저장장치마운트정보 2000/XP \??\STORAGE#RemovableMedia#8&24e3f084&0&RM#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b} \??\STORAGE#RemovableMedia#{ParentIdPrefix}&RM#{GUID} Vista/7 _??_USBSTOR#Disk&Ven_Corsair&Prod_UFD&Rev_0.0.0#ddf08fb7a86075&0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b} _??_USBSTOR#Disk&Ven_{ 제조사명 }&Prod_{ 제품명 }&Rev_0.0.0#{ 시리얼번호 }#{GUID} 114
외부시스템연결정보 (1/5) 원격데스크탑연결정보 (RDP) HKU\{USER}\SOFTWARE\Microsoft\Terminal Server Client\Default 원격데스크탑연결 ( 시작 실행 mstsc ) 을수행한이전컴퓨터 IP 115
외부시스템연결정보 (2/5) 원격데스크탑연결정보 (RDP) HKU\{USER}\SOFTWARE\Microsoft\Terminal Server Client\Default MRU# 숫자가적을수록최근에수행한원격데스크탑연결 IP 116
외부시스템연결정보 (3/5) 네트워크드라이브연결 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Map Network Drive MRU 내컴퓨터 네트워크드라이브연결 (Map network drive.) 시연결정보 117
외부시스템연결정보 (4/5) 네트워크드라이브연결 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Map Network Drive MRU MRUList 네트워크드라이브연결순서확인 118
외부시스템연결정보 (5/5) 마운트포인트 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{GUID} CPC\Volume 의하위키와연결하여마운트된볼륨확인 마운트된저장장치 (HKLM\SYSTEM\MountedDevices) 정보와연결하여마운트한사용자확인 119
감사정책 (1/8) 2000/XP 감사정책 제어판 관리도구 로컬보안설정 로컬정책 감사정책 120
감사정책 (2/8) 2000/XP 감사정책 HKLM\SECURITY\Policy\PolAdtEv 레지스트리값확인을위해해당사용자에게읽기또는모든권한부여 121
감사정책 (3/8) 2000/XP 감사정책 HKLM\SECURITY\Policy\PolAdtEv 122
감사정책 (4/8) 2000/XP 감사정책 HKLM\SECURITY\Policy\PolAdtEv 위치 (Dec) 값 (Hex) 설명 0 0 01 0 : 감사정책없음 1 : 1 개이상의감사정책이설정되어있음 4 7 00 00 00 00 시스템이벤트감사 8 11 03 00 00 00 로그온이벤트감사 12 15 03 00 00 00 개체액세스감사 16 19 00 00 00 00 권한사용감사 20 23 00 00 00 00 프로세스추적감사 24 27 00 00 00 00 정책변경감사 28 31 00 00 00 00 계정관리감사 32 35 02 00 00 00 디렉터리서비스액세스감사 36 39 01 00 00 00 계정로그온이벤트감사 01 FA 07 00 00 00 00 00 03 00 00 00 03 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 02 00 00 00 01 00 00 00 09 00 00 00 0x00 : 감사없음 0x01 : 성공이벤트감사 0x02 : 실패이벤트감사 0x03 : 성공, 실패이벤트감사 123
감사정책 (5/8) Vista/7 감사정책 제어판 관리도구 로컬보안설정 로컬정책 감사정책 124
감사정책 (6/8) Vista/7 감사정책 HKLM\SECURITY\Policy\PolAdtEv 레지스트리값확인을위해해당사용자에게읽기또는모든권한부여 125
감사정책 (7/8) Vista/7 감사정책 HKLM\SECURITY\Policy\PolAdtEv 126
감사정책 (8/8) http://www.kazamiya.net/files/poladtev_structure_en_rev2.pdf Vista/7 감사정책 HKLM\SECURITY\Policy\PolAdtEv 위치 (Dec) 값 (Hex) 설명 0 0 01 12 21 01 00 00 00. 시스템이벤트감사 22 39 03 00 01 00 로그온이벤트감사 40 61 00 00 00 00 개체액세스감사 62 67 00 00 00 00 권한사용감사 68 75 00 00 00 00 프로세스추적감사 76 87 01 00 01 00 정책변경감사 88 99 01 00 01 00 계정관리감사 0x00 : 감사없음 0x01 : 성공이벤트감사 0x02 : 실패이벤트감사 0x03 : 성공, 실패이벤트감사 0 : 감사정책없음 1 : 1 개이상의감사정책이설정되어있음 100 107 01 00 00 00 디렉터리서비스액세스감사 108 115 01 00 01 00 계정로그온이벤트감사 00 01 00 00 09 00 00 00 78 00 00 00 01 00 00 00 03 00 00 00 03 00 01 00 01 00 01 00 00 00 01 00 00 00. 127
이벤트로그 (1/2) 이벤트로그설정정보 제어판 관리도구 이벤트뷰어 128
이벤트로그 (2/2) 이벤트로그설정정보 HKLM\System\ControlSet00X\Services\eventlog Application, Security, System 로그파일경로, 로그파일최대크기, 로그유지기간등의정보확인 129
공유목록 (1/2) 공유폴더목록 HKLM\SYSTEM\ContolSet00X\Services\LanmanServer\Shares net share 명령을통해공유폴더확인 기본적인공유목록이아닌사용자가직접추가한항목만관리 130
공유목록 (2/2) 공유폴더목록 HKLM\SYSTEM\ContolSet00X\Services\LanmanServer\Shares 공유폴더경로, 권한, 공유이름등의정보확인 131
시스템설정정보 (1/3) 서비스및드라이버목록 HKLM\SYSTEM\ContolSet00X\Services\{sub folder} 제어판 관리도구 서비스 또는 시작 실행 msconfig 서비스탭 에서확인가능한서비스목록 driverquery 명령으로확인가능한드라이버목록 132
시스템설정정보 (2/3) 서비스및드라이버목록 HKLM\SYSTEM\ContolSet00X\Services\{sub folder} 각각의서비스및드라이버를가리키는세부키값중 Type 값에따라특성정의 자세한세부키값의미 : http://support.microsoft.com/kb/103000 133
시스템설정정보 (3/3) 서비스및드라이버목록 HKLM\SYSTEM\ContolSet00X\Services\{sub folder} Type 값의의미 0x1 커널장치드라이버 0x2 파일시스템드라이버 ( 커널장치드라이버에도해당 ) 0x04 어댑터에대한인수집합 0x10 서비스컨트롤러에의해시작되는 Win32 프로그램 ( 프로세스로동작 ) 0x20 다른 Win32 서비스프로세스와공유가능한 Win32 서비스 134
네트워크정보 (1/8) 네트워크인터페이스정보 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards HKLM\SYSTEM\ControlSet00X\Services\Tcpip\Parameter\Interfaces\{GUID} ipconfig /all 명령으로확인가능한정보 ( 추가적인정보포함 ) 135
네트워크정보 (2/8) 네트워크인터페이스정보 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards HKLM\SYSTEM\ControlSet00X\Services\Tcpip\Parameter\Interfaces\{GUID} NetworkCards 하위키를통해인터페이스 ServiceName(GUID) 확인후 Interfaces 하위키의값확인 136
네트워크정보 (3/8) 무선랜접속정보 2000/XP HKLM\SOFTWARE\Microsoft\WZCSVC\Parameters\Interface\{GUID} 802.11 무선랜에서사용하는 AP(Access Point) 하위키중 Static#00x 데이터가 Wireless SSID (Service Set Identifier) SSID 와함께무선인터페이스에할당된 IP 정보를함께활용 SSID (Service Set Identifiers) 137
네트워크정보 (4/8) 무선랜접속정보 Vista/7 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Wireless 하위키에서무선네트워크식별자 (Wireless Identifier) 확인가능 Signature\Unmanaged 하위키와연결하여다양한무선랜접속정보확인가능 138
네트워크정보 (5/8) 무선랜접속정보 Vista/7 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Wireless Vista/7 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signature\ Unmanaged 139
네트워크정보 (6/8) 무선랜접속정보 Vista/7 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signature\ Unmanaged Vista/7 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profile\{GUID} 140
네트워크정보 (7/8) 무선랜접속정보 Vista/7 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signature\ Unmanaged Vista/7 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profile\{GUID} 141
네트워크정보 (8/8) 무선랜접속정보 무선 AP 마지막접속시간 DB 07 04 00 06 00 02 00 0D 00 23 00 25 00 57 01 엔디안변환 07 DB 00 04 00 06 00 02 00 0D 00 23 00 25 01 57 year month weekday day hour min. sec. ms. 2011 04 Sat 02 13 23 25 343 2011 년 04 월 02 일토요일 13:23:25 343ms 142
하드웨어정보 (1/2) 하드웨어목록 HKLM\SYSTEM\ControlSet00X\Control\Class HKLM\SYSTEM\ControlSet00X\Enum 143
하드웨어정보 (2/2) 하드웨어목록 HKLM\SYSTEM\ControlSet00X\Control\Class HKLM\SYSTEM\ControlSet00X\Enum 144
인터넷사용흔적 (1/11) Internet Explorer 설정정보 HKU\{USER}\SOFTWARE\Microsoft\Internet Explorer\Main 시작페이지, 동작시간정보, 검색페이지정보등다양한설정정보저장 145
인터넷사용흔적 (2/11) Internet Explorer 타이핑한 URL 목록 HKU\{USER}\SOFTWARE\Microsoft\Internet Explorer\TypedURLs 사용자가익스플로러주소창에직접타이핑하여이동된페이지목록 인터넷옵셥 히스토리항목삭제 를할경우해당내용도삭제됨 146
인터넷사용흔적 (3/11) Internet Explorer 다운로드경로 HKU\{USER}\SOFTWARE\Microsoft\Internet Explorer Download Directory 익스플로러를통해파일을다운로드했을경우최종다운로드경로 147
인터넷사용흔적 (4/11) Internet Explorer 자동완성 인터넷익스플로러에는작성한글이나패스워드를기억해주는자동완성기능이존재 인터넷옵션 내용 자동완성 148
인터넷사용흔적 (5/11) Internet Explorer 자동완성 HKU\{USER}\SOFTWARE\Microsoft\Internet Explorer\Main FormSuggest PW Ask 자동완성대화상자를표시할것인지아닌여부 yes 대화상자표시 ( 사용자가체크박스에체크하지않을경우 ) no 대화상자표시하지않음 ( 사용자가표시안함체크박스에체크한경우 ) 149
인터넷사용흔적 (6/11) Internet Explorer (4.x 6.x) 자동완성 HKU\{USER}\SOFTWARE\Microsoft\Internet Explorer\IntelliForms\SPW SPW(SavePassWords) 사이트의자동완성정보가저장되어있는지여부 대화상자에서 예 또는 아니요 어느것을선택하더라도해당값저장 방문한사이트 URL 이해쉬되어저장 예 (Yes) 를선택 HKEY\{USER}\SOFTWARE\Microsoft\Protected Storage System Provider 아이디 / 패스워드저장 아니요 (No) 를선택 HKEY\{USER}\SOFTWARE\Microsoft\Protected Storage System Provider 아이디저장 150
인터넷사용흔적 (7/11) Internet Explorer (4.x 6.x) 자동완성 HKU\{USER}\SOFTWARE\Microsoft\Protected Storage System Provider\{SID}\{subkey} 저장한아이디패스워드는암호화 (Triple DES) 되어저장 \Data2 하위키에키와 salt 가저장 다양한복구도구로복호화가능 (http://www.nirsoft.net/utils/internet_explorer_password.html) 151
인터넷사용흔적 (8/11) Internet Explorer (7.x 8.x) 자동완성 HKU\{USER}\SOFTWARE\Microsoft\Internet Explorer\IntelliForms\Storage1 사이트 URL 을키로사용하여폼 (Form) 데이터를암호화 152
인터넷사용흔적 (9/11) Internet Explorer (7.x 8.x) 자동완성 HKU\{USER}\SOFTWARE\Microsoft\Internet Explorer\IntelliForms\Storage2 사이트 URL 을키로사용하여아이디 / 패스워드를암호화 153
인터넷사용흔적 (10/11) Internet Explorer 즐겨찾기 (Favorite) 목록 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites Order 즐겨찾기목록저장 하위키 즐겨찾기폴더이름 154
인터넷사용흔적 (11/11) 추가적인분석 앞서살펴본내용이외에도다양한인터넷사용흔적존재 FireFox, Chrome, Safari, Opera 등의브라우저에대한흔적분석 각브라우저별패스워드저장경로 http://hack-o-crack.blogspot.com/2009/10/applications-saved-password-location-in.html 155
대화상자 (Dialog) 사용흔적 (1/5) 최근에접근한폴더목록 2000/XP HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU Vista/7 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidMRU 대화상자를통해 Open 한폴더목록 156
대화상자 (Dialog) 사용흔적 (2/5) 최근에접근한폴더목록 2000/XP HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU Vista/7 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidMRU MRUListEx 를통해최근접근한폴더순서확인 157
대화상자 (Dialog) 사용흔적 (3/5) 최근에읽거나저장한파일목록 2000/XP HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU Vista/7 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidMRU 대화상자를통해 Open 하거나 Save As 한파일목록 158
대화상자 (Dialog) 사용흔적 (4/5) 최근에읽거나저장한파일목록 2000/XP HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU Vista/7 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidMRU 확장자서브키를통해최근읽거나저장한파일목록관리 159
대화상자 (Dialog) 사용흔적 (5/5) Vista/7 에서추가된대화상자흔적 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidMRULegacy HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\CIDSizeMRU HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\FirstFolder 160
레지스트리편집기사용흔적 (1/1) 레지스트리편집기에서마지막으로접근한키 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\Regedit LastKey 값에마지막으로접근한키경로저장 161
레지스트리편집기사용흔적 (2/2) 레지스트리편집기의즐겨찾기에추가한키 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\Regedit\Favorites 즐겨찾기에추가한각키값과경로저장 162
NtfsDisableLastAccessUpdate 파일접근시간업데이트여부 (Vista/7 에서만사용 ) HKLM\SYSTEM\ControlSet00X\Control\FileSystem NtfsDisableLastAccessUpdate 0 : 접근시간을업데이트함 1 : 접근시간을업데이트하지않음 (Default) 디렉터리리스팅시속도를빠르게하기위한목적으로접근시간을업데이트하지않음 163
NukeOnDelete 휴지통우회 2000/XP HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BitBucket Vista/7 HKU\{USER}\Software\Microsoft\Windows\CurrentVersion\Explorer\Bitbucket\Volume\{GUID} NukeOnDelete 0 : 파일삭제시휴지통으로이동 (Default) 1 : 파일삭제시휴지통을거치지않고바로삭제 XP 이하에서는단일설정으로전체사용자에적용, Vista 이상부터는사용자와볼륨마다설정가능 164
ClearPageFileAtShutdown 시스템종료시페이지파일삭제 HKLM\SYSTEM\ControlSet00X\Control\Session Manager\Memory Management ClearPageFileAtShutdown 0 : 시스템종료시페이지파일유지 (Default) 1 : 시스템종료시페이지파일삭제 165
추가적인레지스트리분석정보 레지스트리분석체계화 앞서언급한레지스트리흔적이외에도응용프로그램이나사용자의행위에따라다양한흔적존재 매사건마다전체레지스트리흔적을모두찾는것은바람직하지않음 사건이일어난후사전조사를통해우선분석이나정밀분석해야할레지스트리선정필요 따라서사전에응용프로그램이나사용자행위에따른레지스트리흔적변화의체계적인정리필요 국내에서널리사용되는응용프로그램 ( 한글, 곰플레이어, 알집등 ) 에대한레지스트리흔적도분석필요 166
레지스트리도구 Security is a people problem 167
레지스트리도구 모니터링도구 Process Monitor (http://technet.microsoft.com/en-us/sysinternals/bb896645) 레지스트리실시간모니터링도구 지원운영체제 클라이언트 : Windows XP SP2 이상 서버 : Windows Server 2003 SP1 이상 168
레지스트리도구 모니터링도구 Regshot (http://sourceforge.net/projects/regshot/) 레지스트리스냅샷을통해두시점간의레지스트리비교 지원운영체제 : Windows 2000, XP, Vista, 7 169
레지스트리도구 모니터링도구 InCtrl5 (http://www.pcmag.com/article2/0,2817,25126,00.asp) 레지스트리, 파일스냅샷을통해두시점간의레지스트리, 파일비교 지원운영체제 : Windows 95, 98, NT, 4.0, 2000, ME 170
레지스트리도구 분석도구 RegRipper (http://regripper.net/) 펄 (Perl) 기반의레지스트리파일 ( 하이브 ) 분석도구 RegRipper 를포함한포렌식툴킷 PlainSight (http://www.plainsight.info) SIFT(SANS Investigative Forensic Toolkit) (https://computer-forensics.sans.org/community/downloads) 171
레지스트리도구 분석도구 REGA (http://forensic.korea.ac.kr) MFC 기반의 GUI 레지스트리분석도구 172
예제 Security is a people problem 173
CODEGATE 2011 YUT Quals Q) Forensics 300 We are investigating the military secret's leaking. we found traffic with leaking secrets while monitoring the network. Security team was sent to investigate, immediately. But, there was no one present. It was found by forensics team that all the leaked secrets were completely deleted by wiping tool. And the team has found a leaked trace using potable device. Before long, the suspect was detained. But he denies allegations. Now, the investigation is focused on potable device. The given files are acquired registry files from system. The estimated time of the incident is Mon, 21 February 2011 15:24:28(KST). Find a trace of portable device used for the incident. The Key : "Vendor name" + "volume name" + "serial number" (please write in capitals) 174
CODEGATE 2011 YUT Quals A) Forensics 300 Writeup The Key : "Vendor name" + "volume name" + "serial number" (please write in capitals) Vendor : Corsair, Volume name : PR0N33R, Serial number : ddf08fb7a86075&0 Answer : CORSAIRPR0N33RDDF08FB7A86075 175
CODEGATE 2011 YUT Challenge Q) Forensics GEOL or YUT we are investigating the military secret's leaking. It seems that the suspect used a portable device. Find a signature of mounted E: drive. (please write in capitals) 176
레지스트리보안 Security is a people problem 177
레지스트리보안 레지스트리설정 키권한설정 178
레지스트리보안 레지스트리설정 키권한설정 RegCreateKeyEx ( in HKEY hkey, in LPCTSTR lpsubkey, reserved DWORD Reserved, in_opt LPTSTR lpclass, in DWORD dwoptions, in REGSAM samdesired, /* 키보안및접근권한 mask 설정 */ in_opt LPSECURITY_ATTRIBUTES lpsecurityattributes, out PHKEY phkresult, out_opt LPDWORD lpdwdisposition ); RegOpenKeyEx() RegCreateKeyTransacted() RegOpenKeyTransacted() 179
레지스트리보안 레지스트리설정 고급보안설정 ( 사용권한, 감사, 소유자, 유효사용권한 ) 180
레지스트리보안 악성코드 (1/5) 자동시작목록 ( 약 130 여개의키가확인됨, Autoruns by Sysinternals.com, Microsoft) HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKU\{USER}\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKLM\SYSTEM\ControlSet00X\Control\Terminal Server\Wds\rdpwd\StartupPrograms 181
레지스트리보안 악성코드 (2/5) Appinit_DLLs GUI 응용프로그램에의해로드되는 DLL HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs GUI 응용프로그램실행시 (user32.dll 에의해 ) 자동으로로드되는 DLL 일반적으로비어있으며, 값이존재한다면악성코드일가능성이큼 182
레지스트리보안 악성코드 (3/5) Image File Execution Options 자동디버그연결정보 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 하위키로디버깅하고자하는응용프로그램추가 Debugger 값으로해당응용프로그램실행시연결시킬디버거지정 ( 디버거검증안함 ) 특정응용프로그램을다른프로그램으로리다이렉트가능 183
레지스트리보안 악성코드 (4/5) Command Processor\AutoRun 명령프롬프트실행시자동시작되는응용프로그램 HKLM(HKCU)\SOFTWARE\Microsoft\Command Processor AutoRun 값생성후특정응용프로그램을지정하면명령프롬프트실행시자동으로함께실행 184
레지스트리보안 악성코드 (5/5) exefile\shell\open\command 실행파일실행시정상적인매개변수 HKLM\SOFTWARE\Classes\exefile\shell\open\command Default 기본값은 [ %1 %* ] 를가져야함 악성코드에의해실행파일실행시다른프로그램수행 exefile 외에 comfile, batfile, htafile 등에도동일하게적용 185
레지스트리보안 완전삭제 (wiping) 삭제된레지스트리개체를복구불가능하도록완전삭제 레지스트리직접삭제나 API 를이용해서는안됨 삭제동작시하이브파일내에서해당레지스트리데이터완전삭제 186
참고자료 추가적인내용은다음자료참고 AccessData Registry Offsets http://accessdata.com/downloads/media/registry%20offsets%209-8-08.pdf AccessData Registry Quick Find Chart http://accessdata.com/downloads/media/registry%20quick%20find%20chart%20%207-22-08.pdf AccessData Microsoft Office 2007, 2010 Registry Artifacts http://accessdata.com/downloads/media/microsoft_office_2007-2010_registry_artifactsfinal.pdf AccessData UserAssist Registry Key http://accessdata.com/downloads/media/userassist%20registry%20key%209-8-08.pdf A Windows Registry Quick Reference : For the Everyday Examiner http://www.forensicfocus.com/downloads/windows-registry-quick-reference.pdf 187
질문및답변 188