Window Registry-Analysis [2]




본 포스팅에서는 윈도우의 레지스트리에 대해서 다룹니다.

(도구 사용법 등과 같이 기초 지식은 본 포스팅에서 다루지 않습니다.)




앞서 레지스트리 구성과 채증하는 방법 그리고 분석하는 방법에 대해서 알아 보았습니다. 이번 포스팅에서는 레지스트리를 통해 얻을 수 있는 정보들에 대해 알아 보도록 하겠습니다.

(해당 내용이 많으므로 여러 횟차에 걸쳐 포스팅 하겠습니다.)


1. 시스템정보


■ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion


cmd창에서 systeminfo명령어를 입력하였을 때와 같이 시스템에 대한 전반적인 정보를 담고있습니다.

  -OS 설치 정보, 버전, 사용자정보 등


[시스템정보]



2. 사용자의 PC에 설치된 프로그램 목록 


■ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall


[PC에 설치된 프로그램 확인]


설치된 프로그램 이름, 버전, 게시자, 설치 시간, 설치 폴더 등 정보가 저장되어있습니다. 또한 제어판 프로그램 및 기능(프로그램추가/제거) 항목에서 보이지 않는 모든 항목이 보이므로 은닉 설치된 프로그램을 찾기에 용이합니다.



3. 컴퓨터이름


■ HKLM\SYSTEM\ControlSet00X\Control\ComputerName\ActiveComputerName


[컴퓨터 이름 확인]


컴퓨터 이름을 확인 할 수 있으며, 해당 정보는 많은 PC의 분석시 해당 소유자를 확인 할 수 있는 중요한 정보가 됩니다.



4. SID정보


■ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList[SID]


[사용자 SID 확인]


PC를 사용하면서 사용자를 추가 할때마다 사용자별 고유의 번호가 할당 됩니다. 이를 SID라 칭하며, 해당 PC를 사용함에 있어 SID를 확인하여 은닉된 사용자가 있는지 여부를 확인 할 수 있습니다. 또한 SID정보를 토대로 삭제된(휴지통) 파일 분석시 유용한 정보가 됩니다.

  -휴지통 부분에서 다시 한번 SID에 이야기 하겠습니다.



5.  사용자 기본폴더


■ HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders


[사용자 기본 폴더 목록]


사용자 기본 폴더의 경로가 어디인지를 빠르게 분석 가능하게 해줍니다. 이는 분석시 즐겨찾기 폴더, 다운로드 기본 폴더 등 기본 지정된 폴더의 목록을 나타냅니다.



6. 마지막 로그인한 사용자 정보


■ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon


[마지막 로그인한 사용자 정보]


해당 PC의 마지막으로 사용한 사용자 정보를 확인 할 수 있습니다. 마지막 사용자를 확인 함으로써 정보유출, 악성코드 감염 시 어떤 사용자로부터 감염되었는지 등의 정보를 확인할 수 있습니다.



7.  시스템 마지막 종료시간


■ HKLM\SYSTEM\ControlSet00X\Control\Windows


[시스템 마지막 종료 시간 정보]


마지막 시스템 종료 시간 정보를 저장하고 있으며, 마지막 시스템 종료시간을 확인 함으로써 타임테이블 작성에 있어 중요한 정보가 됩니다.


8. 컴퓨터 표준시간


■ HKLM\SYSTEM\ControlSet00X\Control\TimeZoneInformation


[타임 셋팅 확인]


포렌식을 수행함에 있어 타임라인 정보는 매우 중요한 정보입니다. 도구를 통해 시간 분석을 할 경우 해당PC의 타임존 셋팅을 알아야지만 정확한 타임존 계산이 가능합니다. 



9. 응용프로그램 사용흔적


■ HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist


[응용프로그램 사용흔적]


사용자가 PC를 사용함에 있어 실행한 응용프로그램 정보가 저장됩니다. 이중 UserAssist 하위에 CE로 시작하는 폴더에 저장되는 정보는 단순히 사용자가 실행시킨 정보에 대해서만 정보가 저장됩니다. F4로 시작하는 폴더는 사용자가 자주 실행키신 응용프로그램에 대한 정보를 저장하게 됩니다.

또한 분석시 주의할점은 해당 정보는 ROT 13으로 인코딩 되어 저장됩니다.


해당 정보에는 파일경로,이름, 실행횟수, 마지막 실행시간 정보가 저장됩니다.


[응용 프로그램 실행정보]


■ 파일이름 : C:\USER\JOHN\DESKTOP\TCPVIEW\TCPVCON.EXE

■ 0 ~ 3 : 세션번호 , 0

■ 4 ~ 7 : 실행횟수 , 1

■ 60 ~ 67 : 마지막 실행시간 , 2016년 4월 23일 06시 26분52초

       -시간 정보는 TimeDecode를 통해 Window7 x64 Little Endian방식으로 디코딩 해주면 시간정보를 확인 할 수 있습니다.



다음 포스팅에는 윈도우 자체 프로그램인 그림판, 워드패드, 메모장, MS Office, HWP에 대해서 알아 보도록 하겠습니다.



'Digital Forensic > Windows-Forensic' 카테고리의 다른 글

Window Web browser-Analysis[1]  (0) 2017.12.28
Window Registry-Analysis[5]  (0) 2017.12.25
Window Registry-Analysis [4]  (0) 2017.12.21
Window Registry-Analysis [3]  (0) 2017.12.18
Windows Registry Analysis[1]  (0) 2017.12.11

이 글을 공유하기

댓글