Window Registry-Analysis[5]




본 포스팅에서는 윈도우의 레지스트리에 대해서 다룹니다.

(도구 사용법 등과 같이 기초 지식은 본 포스팅에서 다루지 않습니다.)














이번 포스팅에서는 현재 까지 알아본 레지스트리외에 사용자가 사용하면 남는 아티팩트가 레지스트에 어떤 항목들이 추가적으로 저장 되는지 알아보도록 하겠습니다.




1. 알림영역 아이콘 정보


■ HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\TrayNotify


[트레이 아이콘 프로그램 정보]


PC를 사용하면서 오른쪽 하단에 나오는 트레이 아이콘 정보를 저장 하고 있습니다. 트레이 아이콘으로 한번이라도 활성화 된 프로그램이라면 정보가 저장됩니다. 특히 안티 포렌식 도구 사용시 트레이 아이콘으로 많이 등록되므로 안티포렌식 도구 사용흔적 판별시 유용한 정보가 됩니다.



2. 작업표시줄 고정 프로그램 정보


■ HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Taskband


[작업표시줄 고정 프로그램 정보]


작업표시줄에 등록해놓은 프로그램의 정보를 저장하고 있습니다. 이는 사용자가 자주 사용하는 프로그램에 대한 프로파일링이 가능합니다.



3. 사용자 프로그램의 창제목


■ HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache


[프로그램 창 제목 리스트]


사용자가 pc를 사용하면서 프로그램을 실행 시킬때 프로그램에 대한 창제목이 저장 됩니다. 실행시킨 프로그램에 대한 정보를 얻을 수 있습니다.



4. 탐색기 창에 입력한 주소


■ HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths


[탐색기 창에에 입력한 주소]


사용자가 직접 탐색기 창에서 주소를 타이핑 한 정보를 저장합니다. 이 정보 역시 사용자에 대한 프로파일링 정보로 활용됩니다.



5. 최근 읽거나 저장한 파일 정보


■ HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDig32\OpenSavePidMRU


[최근 읽거나 저장한 파일 정보]


프로그램을 통하여 파일을 열거나 메뉴의 저장하기를 눌러 저장할 경우 해당 정보가 저장됩니다. 앞서 배운 UserAssist와 비슷한 성격을 가지지만, 차이점은 프로그램에 있는 메뉴를 통해 열기와 저장을 해야지만 해당 정보가 레지스트리에 저장됩니다. 단축키를 사용하여 오픈하거나 저장한 정보는 저장되지 않습니다.



6. 최근 접근한 파일 정보


■HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDig32\LastVisitedPidMRU


[최근 액세스한 파일 정보]


OpenSavePidMRU와 마찬가지로 프로그램의 메뉴를 통해 액세스한 정보를 저장하고 있습니다.



7. 서비스 및 드라이버 목록


■ HKLM\SYSTEM\ControlSet00X\Services

 

[서비스 목록]


사용자의 PC에 등록된 서비스 목록을 저장 하고 있습니다. 악성코드 감염시 서비스에 등록하는 경우가 있으므로 악성코드 감염(침해사고) 분석시 유용한 정보가 됩니다.



8. 네트워크 정보


■ HKLM\SYSTEM\ControlSet00X\Services\Tcpip\Parameter\Interfaces{GUID}


[네트워크 정보]


마지막으로 액세스한 네트워크에 대한 정보를 저장하고 있습니다. IP, DNS, G/W 등 정보를 저장하고 있습니다.



9. IE설정 정보


■ HKCU\SOFTWARE\Microsoft\Internet Explorer\Main


IE실행시 나오는 메인페이지 정보를 저장하고 있습니다.


■ HKCU\SOFTWARE\Microsoft\Internet Explorer\TypedURLs


사용자가 직접URL창을 통해 입력한 주소를 저장하고 있습니다.


■ HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites\Links


사용자가 즐겨찾기한 링크에 대한 정보를 저장하고 있습니다.



10. 응용프로그램 호환성 캐시 정보


■ HKLM\SYSTEM\ControlSet00#\Control\Session Manager\AppCompatCache


윈도우7x64이후 프로그램에 대한 호환성 문제에 대한 정보를 저장하고 있습니다. 호환성 문제가 있는 프로그램에 대한 정보를 알 수 있으며, ShimCacheParser도구를 통해 분석이 가능합니다.


11. CMD 실행 시 자동으로 시작되는 S/W정보


■ HKLM\SOFTWARE\Microsoft\Command Processeor


[CMD 실행시 자동으로 실행되는 S/W목록]


악성코드에서 주로 사용하는 방법으로, PC에 잠복 하여 있다가 다른 프로그램(정상적인 프로그램)에 의해 CMD창이 실행 될 경우 악성코드도 같이 실행되게 하는 방법입니다.



12.  컴퓨터 부팅 시 자동으로 실행되는 S/W정보


■ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogo\Shell

■ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

■ HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

■ HKCU\Software\Microsoft\Windows\CurrentVersion\Run

■ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

■ C:\Users\YAMI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup


윈도우 부팅시 자동 실행되는 정보는 AutoRun이라는 도구를 이용하여 파악하면 손쉽게 확인 할 수 있습니다.








지금까지 레지스트리에서 얻을 수 있는 아티팩트 정보들에 대해서 알아 보았습니다. 이외에도 더 많은 정보가 있겠지만, 실제 포렌식을 수행하면서 지금까지의 정보들로만 충분한 분석이 가능합니다.



'Digital Forensic > Windows-Forensic' 카테고리의 다른 글

Window Web browser-Analysis[2]  (0) 2018.01.01
Window Web browser-Analysis[1]  (0) 2017.12.28
Window Registry-Analysis [4]  (0) 2017.12.21
Window Registry-Analysis [3]  (0) 2017.12.18
Window Registry-Analysis [2]  (0) 2017.12.14

이 글을 공유하기

댓글