[FTK] 윈도우 레지스트리 아티팩츠 분석 (4)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 윈도우 레지스트리 아티팩스 4번째 시간입니다. 다시 한번 말씀드리지만 이번 시리즈는 윈도우 7 기반으로 작성된 것임을 참고하시기 바랍니다. 향후 기회가 되면 윈도우 10 기반 아티팩츠도 포스팅할 계획이오니 참고하시기 바랍니다. 자, 시작할까요?

 

Windows 7 – Start > Searches

윈도우 검색 흔적입니다.

Windows XP --> 검색흔적을 남깁니다 (5603 서브키에 남김)

Windows Vista -->  X

Windows 7 --> 검색흔적을 남깁니다 (WordWheelQuery 서브키에 남김)

 

 

색인된 Windows 폴더에 대한 검색 흔적은 다음 위치에서 확인 가능합니다.

SOFTWARE\Microsoft\Windows Search\CrawlScopeManager\Windows\SystemIndex\WorkingSetRules\

 

 

폴더의 색인은 제어판(Control Panel) > 색인 옵션(Indexing Options)에서 설정 가능하고, 실제로 색인된 정보의 기본 저장위치는 다음과 같습니다.

C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.db

 

 

Typed Paths – Windows Explorer

윈도우 주소표시줄에 입력한 것은 아래의 위치에 기록이 됩니다.

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths

TypedURLs 와 비슷합니다.

직접 입력하거나 붙여넣기한 경우 모두 포함하여 기록됩니다.

윈도 탐색기를 닫을 때 기록이 됩니다.

오입력 한 경우(이때, 에러가 표시됨)에는 마우스로 조작하면 기록되지 않습니다.

 

 

Windows 7 – User Assist

사용자의 어플리케이션 사용행위를 추적할 수 있습니다.

ROT13으로 암호화 되어 기록됩니다.

알파벳을 13글자씩 이동하여 표현하고, 알파벳만 암호화 됩니다.

 

1st GUID

{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}

가장 자주 실행하는 프로그램이 기록됩니다.

 

2nd GUID

{F4E57C4B-2036-45F0-A9AB-443BCFE33D9F}

사용자가 직접 경로를 찾아가서 실행시킨 프로그램이 기록됩니다.

 

전체 경로와 LNK 확장자를 가진 바로파기 파일을 식별할 수 있습니다.

다음의 위치에 기록됩니다.

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

마지막 실행 일시와 총 실행 횟수를 알 수 있습니다.

Windows 7 이전에는 실행횟수가 5에서 시작되었습니다.

따라서 항상 -5 해주어야 실제 실행횟수가 계산할 수 있었습니다.

그러나 Windows 7에서는 1에서 시작됩니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : AD Windows Forensics (Win7)