안녕하세요. 도깬리 포렌식스 입니다.
오늘은 윈도우 레지스트리 아티팩츠 5번째 시간입니다. 모두 화이팅 하세요!!!
Protected Storage
아래의 위치에 기록됩니다.
NTUSER.DAT\Software\Microsoft\Internet Explorer\IntelliForms\
Internet Explorer version 7 이후로 Protected Storage Data(기존 버전에서는 Protected Storage System Provider, PSSP)가 IntelliForms 서브키에 저장됩니다.
값은 Windows DPAPI (Data Protection Application Programming Interface)로 암호화되어 있습니다.
암호화 시스템은 아래의 데이터를 이용하여 암호화 됩니다.
- 사용자의 로그온 패스워드
- Protect folder
- URL 또는 검색 헤더
웹브라우저에서의 검색 흔적, 저장된 웹사이트 로그온 기록 등은 포렌식적으로 매우 유용합니다.
Storage 1
IE queirs 와 form 데이터가 저장되어 있습니다.
Storage 2
웹사이트 로그온 패스워드가 저장되어 있습니다.
Cracking Protected Storage DPAPI
Password Cracking (암호 해독)을 위해 추출해야 할 파일들은 다음과 같습니다. (즉, PRTK로 패스워드를 알아내기 위한 사전 조치 사항들로써 준비해야 할 것들 입니다.)
NTUSER.DAT
암호화된 데이터를 포함합니다.
\Users\<username>\
SAM 과 SYSTEM 레지스트리
사용자의 로그온 패스워드를 포함합니다.
\Windows\System32\config\
Protect Folder
DPAPI를 위한 중요 정보를 포함합니다.
\Users\<username>\AppData\Roaming\Microsoft\Protect\
Master IE History Index.dat(low) 또는 기타 URLs
암호화된 패스워드를 포함합니다.
\Users\<username>\AppData\Local\Microsoft\Windows\History\Low\History.IE5\
기타 PRTK에 내장 되어 있는 것들 입니다.
Query Header
Form Name
PRTK 이용 패스워드 크랙하기
SAM과 SYSTEM 레지스트리를 이용하여 윈도우 로그온 패스워드를 먼저 알아냅니다.
NTUSER.DAT의 Protected Storage Data (PSD)에 암호화 되어 있는 IE 관련 패스워드를 복호화 합니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : AD Windows Forensics (Win7)
'FTK' 카테고리의 다른 글
| [FTK] 윈도우 레지스트리 아티팩츠 분석 (7) (0) | 2022.09.24 |
|---|---|
| [FTK] 윈도우 레지스트리 아티팩츠 분석 (6) (0) | 2022.09.21 |
| [FTK] 윈도우 레지스트리 아티팩츠 분석 (4) (0) | 2022.09.16 |
| [FTK] 윈도우 레지스트리 아티팩츠 분석 (3) (0) | 2022.09.14 |
| [FTK] 윈도우 레지스트리 아티팩츠 분석 (2) (0) | 2022.09.09 |