[FTK] 윈도우 레지스트리 아티팩츠 분석 (7)

안녕하세요. 도깬리 포렌식스 입니다.

오늘도 윈도우 레지스트리에 대한 설명을 이어 갑니다. 모두 화이팅 하세요.

 

Transition to 64-bit Windows

64비트 컴퓨터에서 32비트 프로그램을 설치한 흔적은 아래의 위치에 남습니다.

파일시스템

l  C:\Windows\sysWOW62

레지스트리

l  SOFTWARE\Wow6432Node

 

 

SAM File Information

각 사용자의 RID는 Users 서브키 셋에 F값과 V값으로 기록됩니다.

 

F 값

Fixed format

로그온 정보를 바이너리 포맷으로 저장합니다.

- 마지막 로그온 일시

- 마지막 패스워드 변경 일시

- 마지막 로그온 실패 일시

- 총 로그온 횟수

- RID 정보

 

V 값

Variable format

- 사용자 이름

- 사용자의 전체이름

- 계정 설명(Account Description)

- 사용자 패스워드에 대한 암호화된 NT Manager hash 값

 

 

SYSTEM File

컴퓨터의 부팅과 관리를 하는데 필요한 하드웨어 설정 정보를 저장합니다.

포렌식적으로 관심을 갖는 주요 정보로는 다음과 같습니다.

- Computer Name

- Mounted Devices Manager

- Time Zone Information

- File System Settings – Last Accessed Date/Time on or off

 

Computer Name Subkey

컴퓨터 이름은 다음 레지스트리 키에 저장됩니다.

SYSTEM\ControlSet##\Control\ComputerName\ComputerName

컴퓨터 이름을 바꾸면 즉시 반영됩니다.

 

SYSTEM\ControlSet##\Control\ComputerName\ActiveComputerName

Windows Vista 이후 등장했습니다.

현재 로그온 한 컴퓨터의 이름을 볼 수 있습니다.

컴퓨터 이름을 바꾸어도 바로 반영되는 것은 아닙니다.

Reboot 해야 변경됩니다.

이때 제어판 > 시스템 > 컴퓨터 이름 에서는 재부팅하기 이전의 변경사항을 보여 주기도 합니다.

 

 

System File - MountedDevice

MountedDevice에서 시스템에 연결한 USB 메모리의 식별자를 포함하고, CD/DVD 기타 장치에 연결한 흔적을 확인할 수 있습니다.

장치를 시스템에서 제거하여도 Persistent Value는 남습니다.

드라이브 문자는 다른 장치에도 할당될 수 있으므로 드라이브 문자 만으로는 어떤 장치를 특정할 수 없습니다.

 

SYSTEM\MountedDevices\DosDevices\<driveletter>

하드디스크 드라이브에 대한 drive identifier (4개의 헥사값)는 MBR에 기록되는 drive identifier와 일치합니다.

 

\\??\

USB 장치나 CD/DVD 와 같은 이동식 저장장치를 가리킵니다.

 

#Disk & Ven (Vender) identifier

이동식 저장장치에 대한 drive identifier 입니다.

 

\\??\Volume{GUID}\

해당 볼륨에 대한 Unique Identifier 입니다.

이 GUID는 NTUSER.DAT의 MountPoints의 서브 키로 사용됩니다.

이 GUID는 $MFT 안에서도 해당 볼륨을 mount point로 이용됩니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : AD Windows Forensics (Win7)