Window Registry-Analysis [4]




본 포스팅에서는 윈도우의 레지스트리에 대해서 다룹니다.

(도구 사용법 등과 같이 기초 지식은 본 포스팅에서 다루지 않습니다.)












지난번 포스팅에 이어서 이번 포스팅에는 컴퓨터에서 검색한 흔적과 최근열어본 파일목록, 매체 정보등에 대해서 알아보도록 하겠습니다.



1. 컴퓨터 內 검색 목록


■ HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery


[컴퓨터 內 검색 목록]


컴퓨터를 사용하면서 빠르게 문서나 파일을 찾기위해 검색 기능을 사용합니다. 이러한 흔적은 포렌식 수행 시 특정 파일을 의도적으로 찾기 위한 단서로 중요한 정보가 됩니다. 



2. 최근 열어본 파일 목록


■ HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs


[최근 열어본 파일 목록]


이전 포스팅에서 다룬 열어본 파일목록과 비슷한 성격을 가지고 있지만 해당 정보는 PC에서 .lnk로 남은 정보만을 저장 하고있습니다.



3. 실행창 검색 목록


■ HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU


[실행창 이용 검색 목록]


Window Key + R을 눌러 실행되는 실행창을 통해 입력한 명령어가 저장 됩니다. MRU(Most Recently User)List를 통해 최근 입력한 명령어를 알 수 있습니다. 



4. 저장매체 연결 흔적


■ HKLM\SYSTEM\ControlSet00X\Enum\USBSTOR\[DID]


[저장매체 연결흔적 #1]


■ HKLM\SYSTEM\CurrentControlSet\DeviceClasses\{DID}

      -Disk&Ven_[제조사명]&Prod_[제품명]&Rev_0.0.0#[시리얼번호]#{GUID}


[저장매체 연결흔적 #2]


■ HKLM\SYSTEM\MountedDevices


[저장매체 연결흔적 #3]


저장매체 연결흔적은 중요 자료유출이 있었을때 중요한 정보가 됩니다. PC에 연결했던 저장매체에 대한 정보를 저장 하고 있습니다. 해당 정보는  C:\Windows\INF\setupapi.dev.log에도 같이 기록이 됩니다.



5. 외부 시스템 연결 정보


■ HKU\[SID]\SOFTWARE\Microsoft\Terminal Server Client\Default\


[원격접속지 정보(IP)]


윈도우의 원격관리 기능인 mstsc(RDP)를 이용하여 접속한 정보를 저장하고 있습니다.







이번 포스팅에서는 매체와 관련댄 정보들을 알아 보았으며, 다음 포스팅에서는 작업표시줄, 또다른 파일열람 흔적, 네트워크, 서비스등과 관련된 정보들에 대해서 알아보도록 하겠습니다.



'Digital Forensic > Windows-Forensic' 카테고리의 다른 글

Window Web browser-Analysis[1]  (0) 2017.12.28
Window Registry-Analysis[5]  (0) 2017.12.25
Window Registry-Analysis [3]  (0) 2017.12.18
Window Registry-Analysis [2]  (0) 2017.12.14
Windows Registry Analysis[1]  (0) 2017.12.11

이 글을 공유하기

댓글