| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 |
- k8s
- SMS-P 인증 기준 안내서 요약
- 쿠버네티스
- AWS
- TSK
- iam
- 모의해킹
- AWS Elasticsearch
- 보안
- Autopsy
- isms-p
- 보안기사
- forensic
- AWS EKS
- The Sleuth Kit
- ISMS
- AWS EKS Udemy
- 정보보안기사 실기
- 포렌식
- AWS 쿠버네티스
- 정보보안기사
- 실습
- 해킹
- ISMS-P 인증심사원
- artifacts
- hacking case
- 정보보안
- CFReDS
- AWS Opensearch
- kubernetes
- Today
- Total
Always-Try(정보보안 및 일상)
포렌식/윈도우 - Windows 10 Artifacts - Registry 본문
본 게시글은 인프런 '맥으로 배우는 윈도우즈 포렌식'를 참고하여 작성했습니다. (www.inflearn.com/course/forensic-2/dashboard)
맥으로 배우는 윈도우즈 포렌식 - 인프런
유료 도구가 아닌 무료 포렌식 도구를 통해 더욱 깊이 있는 포렌식 분석 방법을 배웁니다. 초급 보안 Forensic Microsoft Windows 정보보안 온라인 강의 forensic
www.inflearn.com
#1. Registry
1-1. Registry 란?
윈도우계열 시스템에서 사용하는 시스템 구성 정보를 저장한 데이터베이스를 말한다.
대부분 Windows/System32/config 아래에 있다.
아래 사진에 있는 것은 폴더/파일이 아니고 키/밸류 라도 부른다.
1-2. Registry 구조
레지스트리 헤더의 사이즈는 1000h이고, 시그니처는 regf이다. 헤더 다음엔 여러개의 Hbin이 나온다.
Hbin에 들어가보면 아래와 같이 Record Type들이 시그니처별로 나뉘어져 있다. 그것을 보고 이게 키인지 밸류인지 서브키 리스트인지 구분이 되는 것이다.(물론 툴에서 해준다.)
** 나머지 레코드 타입에 대한 자세한 내용은 강의 교안에서 별도로 확인할 것
1-3. Important Registry Keys
Network SSID
• Hive
➡ \WINDOWS\System32\config\RegBack\SOFTWARE
➡ \WINDOWS\System32\config\SOFTWARE
• Keys
➡ SOFTWARE :: \SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles
Execution List - RecentDocs Key
• NTUSER.DAT :: \Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
• NTUSER.DAT :: \Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU
• NTUSER.DAT ::\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU
➡ 각 키는 10개의 마지막 문서를 저장할 수 있다.
➡ doc, docx, tar, jpg, png 등의 확장자를 사용하는 내역을 확인 가능하다.
➡ RecentDocs는 확장자 상관없이 최근 마지막 문서 20개
➡ 각 확장자에는 최근 마지막 문서 10개
• NTUSER.DAT :: \Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
➡ 시작> 실행 명령을 사용하여 실행 된 목록
Execution List - TypedURLs Start/Search Page
• NTUSER.DAT\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page
➡ 검색 URL 정보 확인
• NTUSER.DAT\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
➡ 시작 URL 정보 확인
• NTUSER.DAT :: \Software\Microsoft\Internet Explorer\TypedURLs
➡ Internet Explorer에서 자판으로 입력하여 접근한 URLs
➡ url 은 url1 을 시작으로 최대 25개까지 저장
➡ 최신 url 이 url1 에 저장되고 하나씩 Shift
Execution List - WordWheelQueryInternet Key
• NTUSER.DAT :: SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQueryInternet
➡ Explorer에서 검색한 내역을 저장
Execution List - RunMRU Key
• NTUSER.DAT :: \Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
➡ 시작 => 실행 에서 실행된 내역
AutoStart - Start Up Key
• SOFTWARE :: \Software\Microsoft\Windows\CurrentVersion\Run
• 악성코트가 시스템이 다시 시작될 때마다 시작되도록 설정하는 Key
• SOFTWARE :: \Software\Microsoft\Windows\CurrentVersion\RunOnce
• 악성코트가 시스템이 시작될 때 단 한번만 시작되도록 설정하는 Key
AutoStart - Services Key
• SYSTEM :: \System\CurrentControlSet\Services
• 악성코트가 시스템이 다시 시작될 때마다 시작되도록 설정하는 Key
• Start Value 가 2는 시스템 시작할 때 마다 실행
• Start Value 가 3는 수동으로 실행
• Start Value 가 4는 사용 안함
요새 악성코드들은 흔적을 지우기 위해 AutoStart key를 삭제하기도 한다.
Storages Key
• SYSTEM :: \ControlSet001\Enum\USB
• 시스템에 같은 디바이스를 연결할 경우 시간 업데이트가 되지 않음
• Serial Number • Device Name
그리고 레지스트리도 기존에 했던 log2timeline으로 분석이 가능하다.
강의에는 나와있지 않지만 스스로 진행해볼 것
끝.
'Forensic' 카테고리의 다른 글
| 포렌식 기초 - 삭제된 파일 복구 (0) | 2021.02.27 |
|---|---|
| 포렌식 기초 - FAT32 and NTFS - 실습편 (with 010 Editor) (0) | 2021.02.27 |
| 포렌식 기초 - FAT32 and NTFS - 이론편 (0) | 2021.02.27 |
| 포렌식 기초 - Disk Image, Imaging and mounting, hash (3) | 2021.02.27 |
| 포렌식/윈도우 - Windows 10 Artifacts - Amcache.hve (0) | 2021.02.15 |
