이메일을 적으시면 보안관련 소식을 받을수 있습니다.
이메일:

작성자 : 투라(extraman@boanin.com)

편집자 : 엔시스

 

윈도우 포렌식 두번째입니다.


어제 끝냈어야 하는데..ㅋㅋ 오후에 KTF협력사 보안교육 참석 및 보안인번개로..
늦게 들어 왔습니다..

관련후기는 여기 가시면 있습니다..
 

오늘은 레지스트리,인터넷접속, 윈도우파일분석등을 알아봅니다.

레지스트리란 “운영체제 내에서 작동하는 모든 하드웨어,소프트웨어,사용자 정보 및 시스템 구성 요소등을 담고 있는 데이터 베이스”를 말하며 다음과 같은 5개의 상위키를 가진다

 

HKEY_CLASSES_ROOT

- 파일 확장자에 대한 정보, 각 파일과 프로그램간의 연결에 대한 정보, 마우스 오른쪽 단추의 등록정보등..

HKEY_CURRENT_ROOT

- 현재의 로그인중인 사용자들에 대한 등록정보, 응용 프로그램의 우선순위, 보안접근 허용 여부

HKEY_LOCAL_MACHINE

- H/W 구성 초기화 파일, 제어판과 밀접, 사용중 H/W , S/W에 대한 정보

 HKLM/Software/CLASSES : HKEY_CLASSES_ROOT의 키값과 동일한 값 가짐, 두곳이 연동되어 생성이나 삭제가 같이 이뤄짐

HKEY_USERS

- 이전 사용자 초기화 파일 보관, 두키 사이가 겹치면 HKEY_CURRENT_USER가 우선

HKEY_CURRENT_CONFIG

- 현재의 사용중인 윈도의 디스플레이 정보 와 프린터 관련정보

HKEY_DYN_DATA

- wind95,98,me까지 존재

 

윈도우 레지스트리분석

-         최근 열었거나, 실행,수정한 문서에 대한 사용흔적

MRU (most Recently Used)

- 가장 최근 사용된 파일 프로그램에 대한정보 목록을 말하며 일부정보가 레지스트리에 기록

HKCU\Software\Microsoft\windows\currentVersion\exploer\ComDlg32\OpenSaveMRU

- 최근 Open 되거나 Save된 파일 목록

HKCU\Software\Microsoft\windows\currentVersion\exploer\ComDlg32\LastVisitedMRU

- OpenSaveMRU 에 새로운 항목이 추가되면 이 키에 새로운 값이 생성되거나 수정

HKCU\Software\Microsoft\windows\currentVersion\exploer\ComDlg32\RecentDocs

- windows explorer를 통해서 최근 Open된 파일 목록 기록

HKCU\Software\Microsoft\windows\currentVersion\exploer\ComDlg32\RunMRU

- 시작->실행 선택해 실행된 명력 목록 유지. 가장 최근 추가된 명령어 항목이 가장 최근

사용된 명령어 의미하지 않음

 

HKCU\Software\Microsoft\windows\CurrentVersion\exploere\UserAssist

- 사용자가 접근한(실행한) 프로그램, Shortcut, control panel applet등 기록

 

HKML\SYSTEM\ControlSet00x\Enum|USBSTOR

- USB 장치 정보 저장

 

그외 몇가지 더 있으나 필요하시면 좀 찾아 보시면 될듯합니다..

왠만하면 pc에 기록이 다 남으니 허튼짓은 안하시는게..^^;

 

그외 이제 인터넷 접속기록 부분은 History정보와 Cache 정보 Cookie 정보등을 살펴 보아야한다.

History 경우 간혹 ID와 Password 관련정보 있을수 있고cache 경우 삭제파일들을 복구하여 검색하며, Cookie 경우 사용자정보,세션정보가 저장관리되므로, 유용하게 사용된다.

 

마지막으로 윈도우 파일분석입니다.


작업에 따른 파일의 MAC시간 변경


파일생성 : 수정한날짜, 만든날짜,접근날짜 모두 일치

파일이름변경 : 접근날짜

파일내용수정 : 수정날짜,접근날짜,

파일복사 : 만든날짜, 접근날짜

파일이동 : 접근날짜

파일다운로드 : 만든날짜, 수정날짜, 접근날짜 변경

메신저에 의한 파일생성 : 만든날짜, 수정한날짜, 접근날자 변경

파일압축해제 : 만든날짜, 접근날짜 변경

 

파일의 MAC 수집

dir /t:a /s /o:d c:\ -> C드라이브에서 각각의 모든 파일, 디렉토리에 대한 접근 시간

dir /t:w /s /o:d d:\ -> D드라이브에서 각각의 모든 파일, 디렉토리에 대한 기록한 시간

dir /t:c /s /o:d e:\ -> E드리이브에서 각각의 모든 파일, 디렉토리에 대한 작성 시간

 

휴지통 파일에서 INFO2파일의 경우 windows 2K/xp 에서 800bytes 크기 가집니다.

 

이상으로 윈도우 포렌식을 또 마칩니다..

다음에는 리눅스포렌식쪽으로 다뤄보겠습니다.

 

 

****************************************************************************************************

본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..

****************************************************************************************************

Posted by 비회원

댓글을 달아 주세요

  1. Sun2Day 2009.04.23 02:13  댓글주소  수정/삭제  댓글쓰기

    항상 좋은글 감사드립니다 ㅇ_ㅇ//

  2. gofighting 2009.04.23 07:54  댓글주소  수정/삭제  댓글쓰기

    항상 유용한 정보 잘 보고 있습니다.

    화면의 내용을 출력해서 보고 싶은데요

    복사하기 되도록 해주시면 안될까요?

  3. Favicon of https://extraman.tistory.com BlogIcon ^________________^ 2009.04.23 10:25 신고  댓글주소  수정/삭제  댓글쓰기

    음..그건..치프블로거 권한이 아닐까 싶은데요..
    출력 필요하시면 개별적으로 연락 주시면...
    개별적으로 드리겠습니다.

  4. Favicon of https://eva1717.tistory.com BlogIcon eva1717 2009.04.24 11:49 신고  댓글주소  수정/삭제  댓글쓰기

    투라님.. 포스팅하시느냐고 고생하셨습니다..^^
    SIS 시험 내용도 보이고, 예전 WFT로 window Forensic 했던 기억도 새록새록 나고...^^
    잘 보고 갑니다~!^^*
    다음 포스팅도 기대할깨요+ㅁ+

  5. a6r0ra 2009.04.24 14:01  댓글주소  수정/삭제  댓글쓰기

    투라 // 좋은 내용 잘 보고 있습니다. ^^
    gofighting // 복사는 불여우로 하실 수 있어요...^^