• 01 Windows Artifacts
• 02 Registry
• 03 Regisry Practice
01 Windows Artifacts
- Windows가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소
- Windows의 사용자가 수행하는 활동에 대한 정보를 보유하고 있는 개체
생성증거 : 프로세스, 시스템에서 자동으로 생성한 데이터
보관증거 : 사람이 기록하여 작성한 데이터
• 레지스트리
• $MFT, $Logfile, $UsnJrnl
• LNK
• JumpList
• Recycle Bin
• Prefetch & Cache(s)
• Timeline
• VSS
• 웹브라우저 아티팩트
• EventLogs
02 Registry
윈도우 운영체제와 응용 프로그램 운영에 필요한 정보를 담고 있는 계층형 데이터베이스
- 운영체제 및 응용 프로그램의 설정 정보, 서비스의 중요 데이터 등 기록
- 부팅 과정부터 로그인, 서비스 실행, 응용프로그램 실행, 사용자 행위 등 모든 활동에 관여
윈도우 시스템의 모든 정보가 담겨 있음
- 윈도우 시스템 분석의 필수 요소
• 시스템 표준 시간(TimeZone)
• 시스템 정보(Systeminfo)
• 사용자 계정 정보
• 환경 변수 정보
• 자동 실행 프로그램
• 응용프로그램 실행 흔적(UserAssist, OpenSavePidIMRU, LastVisitedPidIMRU)
• USB 연결 흔적
• 접근한 폴더 정보(Shellbag)
레지스트리 구조
Registry - Timezone
경로: HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation
- Bias를 통해 현재 컴퓨터의 timezone을 알 수 있음.
- 현재 컴퓨터의 설정은 UTC+9
Registry - Systeminfo
경로: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
- 현재 윈도우 버전, 설치 시간, ProductId 등 시스템과 관련된 정보들
Registry - Autoruns
경로
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
- 시작 프로그램(Autoruns) 확인
Registry - User Account
경로: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\
S-1-5-18 : systemprofile
S-1-5-19 : LocalService
S-1-5-20 : NetworkService
S-1-5-21 : 사용자가 만든 계정
• 1000 이상은 user 권한
• 500은 administrator
- 사용자의 최종 로그인 시간을 Dcode로 확인
Registry - Environment Variables
경로
: 사용자 환경변수 : HKU\{SID}\Environment
: 시스템 환경변수 : HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment
- 시스템/사용자 환경변수 확인
Registry - Executable
- 응용프로그램(exe) 실행에 따른 흔적
UserAssist: 최근에 실행한 프로그램 목록, 마지막 실행 시간, 실행 횟수
OpenSavePidIMRU: 열기 혹은 저장 기능으로 사용된 파일
LastVisitedPidIMRU: 열기 혹은 저장 기능을 사용한 응용 프로그램
Registry - USB Connection
- USB 등 외부 저장매체 연결 흔적을 추적 가능
- USB 제품명, 시리얼 번호, 최초 연결 시각, 마지막 연결 시각
경로
: 모든 USB: HKLM\SYSTEM\ControlSet001\Enum\USB
: USB 저장장치: HKLM\SYSTEM\ControlSet001\Enum\USB\USBSTOR
: 마운트 디바이스: HKLM\SYSTEM\MountedDevices
Registry - Shellbags
- 사용자가 접근한 폴더 정보를 기록함
BagMRU: 폴더의 구조를 계층적 구조로 나타냄
Bag: 윈도우 사이즈, 위치 등 사용자의 환경설정을 저장
경로
: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags
: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
: HKCU\Software\Microsoft\Windows\Shell\Bags
: HKCU\Software\Microsoft\Windows\Shell\BagMRU
03 Registry Practice
분석 도구 다운로드
• REGA: https://dfrc.korea.ac.kr/infra_dfrc_tools/q=YToxOntzOjEyOiJrZXl3b3JkX3R5cGUiO3M6MzoiYWxsIjt9&bmode=view&idx=14616120&t=board
• RLA: https://ericzimmerman.github.io/#!index.md
• Regripper: https://github.com/keydet89/RegRipper3.0