The CFReDS Project - Hacking Case 13, 14, 15번 (네트워크 설정 정보) with autopsy

DD image 및 EnCase image는 https://www.cfreds.nist.gov/Hacking_Case.html 참고

1. Hacking Case 시나리오 

2. 문제 

3. 풀이

네트워크 카드 정보가 어디에 나올까?

 

일단, 네트워크 카드 목록 관련 레지스트리

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards

네트워크 설정 관련 레지스트리

- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Tcpip\Parameters\Interfaces

 

첫번째의 경로를 확인해보면 아래와 같이 2개의 NIC 카드가 있다. 13번은 클리어!

 

그런데, 14번 문제를 풀려고 해당 레지스트리 경로에 갔더니 아래와 같이 의미 있는 IP들이 나오지 안보인다. 0.0.0.0 과 같이 설정되어 있다.흠..

 

- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Tcpip\Parameters\Interfaces

이거 말고 ControlSet002로 가볼까? 있다. 잡았다 요놈.

그럼 MAC은?

 

\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\에 들어가보면 해당 PC에 연결된 모든 하드웨어에 대한 정보들이 나열되어 있다. 그 중 [4D36E972-E325-11CE-BFC1-08002BE1031]는 Network Adapters 의 정보를 나타내며 Networkaddress 부분에 Mac에 적혀있다. 

 

하지만, 이 이미지에는 NetworkAddress가 없다!

흠. 그럼 어쩌지? 이전 문제에서 확인한 irunin.ini에 힌트가 있다.

 

 

일반적으로 mac address의 앞쪽은 벤더사들의 고유 번호이다. 구글링해보면 0010a4는 xircom에서 발생한 것임을 쉽게 알 수 있다.

 

 

* Controlset 1,2 관련 설명 참고

(m.blog.naver.com/PostView.nhn?blogId=ifkiller&logNo=70156802613&proxyReferer=https:%2F%2Fwww.google.com%2F)

SYSTEM에서 또 한가지 중요하게 살펴볼 것이 있는데 바로 CurrentControlSet 키 이다.

이 키는 파일로 존재하는 것이 아니라 그 위에 있는 ControlSet001, ControlSet002 둘 중 

어느 하나에 대한 링크이다. 

ControlSet은 디바이스 드라이버와 서비스 같은 시스템 환경 설정 정보를 담고 있는 키다. 

 

보통 2개 이상의 키가 존재한다.

보통 ControlSet001은 최근 부팅에 사용된 정보이고, ControlSet002는

위의 화면처럼 '마지막으로 성공한 구성'이라고 알려진 바로 그것이다.

  

조사 시점에서 컴퓨터가 사용하고 있던 ControlSet 즉, CurrentControlSet이

몇번인가가 문제가 되는데 이 해답은 Select에서 찾을 수 있다.

키 안의 값을 보면 무엇을 의미하는지 바로 알 수 있을 것이다.

 

Current 값의 데이터가 현재 사용하고 있는 ControlSet의 번호이다.