[FTK] 윈도우 레지스트리 아티팩츠 분석 (8)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 윈도우 레지스트리 8번째 시간입니다. 모두 화이팅 하세요.

 

System file – Time Zone Info

분석관의 컴퓨터와 조사 대상 컴퓨터는 TimeZone이 일치해야 합니다.

SYSTEM\ControlSet##\Control\TimeZoneInformation

 

시간 정보 분석의 2가지 관점

(1) TimeZone을 어떻게 설정하였는가 입니다.

(2) 파일시스템(FAT/NTFS)에 따라 시간정보가 다르게 기록된다는 겁니다.

 

FAT

System clock에 설정된 local time으로 저장됩니다.

NTFS

컴퓨터의 현재 설정을 기반으로 하여, UTC 형태로 저장됩니다.

 

FTK는 FAT으로 기록된 시각을 모두 UTC로 바꾸어 DB에 저장합니다.

증거이미지와 같은 TimeZone으로 설정해야 합니다.

FTK를 이용할 경우, 분석관 컴퓨터의 TimeZone을 설정하지 않고도, 간단히 View 메뉴에서 설정 가능합니다.

 

TimeZone 관련 필수 조사 사항

TimeZone setting

Daylight Saving Time auto-correction status (일광절약시간 자동 갱신 여부)

 

TimeZone의 이름은 다음 키값에 저장됩니다.

Windows XP : StandardName

Windows 7 : TimeZoneKeyName

 

 

System file – Last Access Date

SYSTEM\ControSet##\Control\FileSystem

마지막 접근일시가 변경되는 경우는 다음과 같습니다.

파일을 연 경우

파일의 오른 마우스를 눌러, 속성을 클릭한 경우

안티바이러스 프로그램을 사용하는 경우 등

 

Windows 7에서는 기본적으로 마지막 접근 일시가 갱신되지 않도록 설정되어 있습니다.

NftsDisableLstAccessUpdate 값의 디폴트 값이 ‘1’이면 이것은 마지막 접근 일시가 갱신되지 않음을 의미합니다. (‘0’값이면 갱신됨을 의미)

이유는 속도 향상을 위한 것입니다.

윈도우 시간 정보는 신뢰하기 어려운 정보입니다. 따라서 시간을 특정하려고 하기 보다는 일반적인 Time Line을 구성하는 용도로 사용하는 것이 바람직합니다.

 

 

SOFTWARE File

SOFTWARE\Microsoft\Windows NT\CurrentVersion

InstallDate : 운영체제 설치일자

RegisteredOrganiztion : 회사정보

RegisteredOwner : 사용자명

 

 

SOFTWARE File - UAC

USC (User Access Control)

‘보호모드(Protection mode)’를 사용할 것인지 말 것인지 설정합니다.

SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

EnableUA 값의 디폴트 값은 ‘1’ 입니다.

즉, 보호모드가 동작하는 것이 디폴트 값입니다.

인터넷 흔적이 별로 남아 있지 않다면 UAC 설정 여부를 확인하는 것이 좋습니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : AD Windows Forensics (Win7)