[FTK] 윈도우 레지스트리 아티팩츠 분석 (1)

안녕하세요. 도깬리 포렌식스 입니다.

오늘 부터는 윈도우 레지스트리 (Win7 기반) 아티팩츠를 좀 더 자세히 살펴 보겠습니다. 모두 화이팅하세요.!!

 

NTUSER.DAT file - TypedURLs

가장 최근에 검색한 URL을 보여줍니다.

IE 브라우저에 직접 입력하거나, 붙여넣기한 URL 주소를 확인 가능합니다.

즉, 이것은 특정 웹페이지가 우연하게 연동(redirection)된 것이 아니라, 적어도 사용자가 직접 개입하였음을 의미합니다.

최대 25개의 URL 엔트리가 기록되고, 가장 윗쪽에 있는 엔트리(가장 작은 숫자의 엔트리)가 가장 마지막(가장 최근) 검색 기록입니다.

TypedURLs는 ‘닫기’를 누르거나, File > Close 해야만 그 정보가 갱신됩니다.

 

 

MRUs – Recent Docs

RecentDocs 서브키는 다음 위치에 기록됩니다.

NTUSER.DAT\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

각 파일 확장자 별로 마지막으로 열었던 10개의 엔트리가 기록됩니다.

Regedit는 Numerical order(번호순) 순서로 엔트리를 보여줍니다.

AccessData Registry Viewer는 Chronological order(연대순) 순서로 엔트리를 보여줍니다.

 

 

MRUs –ComDlg32

ComDlg는 Common Dialog의 줄임 말입니다.

Open(열기), Save as(다른 이름으로 저장)와 같은 일반 대화창과 관련된 사용자의 행위를 추적할 때 참고해야 할 정보입니다.

저장 위치는 다음과 같습니다.

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32

 

 

ComDig32 - CIDSizeMRU

어플리케이션의 이름 만을 보여줍니다.

 

 

ComDig32 - FirstFolder

프로그램의 디폴트 저장 경로를 알 수 있습니다.

프로그램을 삭제 해도 레지스트리의 정보는 그대로 남아 있습니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : AD Windows Forensics (Win7)