[FTK] 윈도우 레지스트리 아티팩츠 분석 (6)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 윈도우 레지스트리 아티팩츠 6번째 시간입니다. 가을이 온 듯 하네요! 모두 화이팅 하세요.

 

UsrClass.DAT - MuiCache

과거에 구동한 적이 있는 어플리케이션이나 시스템 실행파일에 대한 흔적을 알 수 있습니다.

레지스트리 서브키의 위치는 다음과 같습니다.

Windows XP

HKCU\Software\Microsoft\Windows\ShellNoRoam\MuiChache

Windows Vista, 7

HKCU\Local Settings\Microsoft\Windows\Shell\MuiChache

 

시스템에서 구동한 실행파일 흔적

UsrClass\Local Settings\MuiCache\<##>\<identifier>

사용자가 구동한 어플리케이션 흔적

UsrClass\Local Settings\Software\Microsoft\Windows\Shell\MuiCache

 

프로그램(이하 P/G)에 접근한 순서, 접근 시각은 확인할 수 없습니다.

하위키 아래의 정보가 마지막으로 변경된 시간 정보만 확인 가능합니다.

일반적으로 P/G 실행과 관련된 정보를 조사할 때 확인해야 할 사항은 다음과 같습니다.

- UserAssist,

- Prefetch

- Link files

- Restore points

 

Windows XP에서는 텍스트 파일에 exe 확장자를 붙여도 이것을 실행파일로 인식하여 MuiCache에 기록이 되나, Win 7에서는 기록되지 않습니다.

P/G을 제거해도 MuiCache 기록은 그대로 유지됩니다.

UserAssist, Prefetch 와 유사하나, 실행시각, 실행 횟수를 기록하지 않습니다.

 

 

Date and Time : Synch via Internet – File System

윈도우 7에는 시간의 정확성을 유지(시간 동기화)하기 위한 유틸리티를 갖고 있습니다.

C:\Windows\System32\w32time.dll

w32time.dll 유틸리티는 Network Time Protocol (NTP)를 이용하여 도메인 서버와의 시간을 동기화 합니다.

Windows 7에서는 사용자가 임의로 시간정보를 변경하더라도 7일이 지나면 다시 원래대로 돌아옵니다 (자동 Reset)

이러한 Reset 기록은 Event Log 에도 기록됩니다.

 

 

Date and Time : Synch via Internet – Registry

레지스트리에도 시간 동기화와 관련된 정보가 기록됩니다.

SYSTEM\ControlSet###\Services\W32Time\Parameters\Type

어떤 time clock을 사용하는지, intervals 등을 확인 가능합니다.

Type의 종류는 다음과 같습니다.

 

Type	Definition
NTP	Auto-correction is enabled.
NoSync	Auto-correction is disabled.
NT5DS	Time Service synchronizing from the domain hierarchy.
AllSync	All available synchronization mechanisms are in use.

 

SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime\Servers

접근 가능한 시각이 목록화 되어 있습니다.

구버전의 경우, 15시간 차이 나는 경우 자동 동기화가 일어나지 않는 반면, 윈도우 7에서는 15시간 차이 나도 동기화가 일어납니다.

사용자가 임의로 시간을 변경하면, 그 흔적이 System.evtx에도 남습니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : AD Windows Forensics (Win7)