안녕하세요. 도깬리 포렌식스 입니다.
오늘도 윈도우 레지스트리 아티팩츠에 대한 설명을 이어 갑니다. 다시 말씀 드리지만 이번 시리즈는 윈도우 7 기반입니다. 이러한 점을 감안하시어 이해하여 주시면 고맙겠습니다. 추후 윈도우 8이나 10에서 레지스트리의 변경 사항을 추가적으로 소개할 시간을 갖도록 하겠습니다. 그럼 오늘도 시작해볼까요?
Last Logged On User
사용자의 마지막 로그온 기록이 저장됩니다.
SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI
LastLoggedOnSAMUser 값에서 가장 마지막으로 로그온 한 사용자와 컴퓨터명을 확인 가능합니다.
위 서브키의 Last Written Time 값의 의미는 다음과 같이 분석됩니다.
- 시스템이 동작중인 경우 : 마지막 로그온 시각
- 시스템이 정상종료된 경우 : 마지막 로그오프 시각
- 시스템이 돌발종료된 경우 : 마지막 로그온 시각
Wireless in Windows 7
시스템이 연결한 무선 연결 지점을 확인할 수 있습니다.
SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles
무선장치에 연결하기 위한 일반적인 식별자는 SSID(Service Set Identifier)입니다.
Windows 7에서 무선연결 정보는 아래 항목을 조사해야 합니다.
Event logs
SOFTWARE 레지스트리에서 NetworkList 서브키
NetworkList 서브키 아래 각각의 Profiles GUID가 보이고, 그 아래 각각의 값을 살펴보면 다음과 같습니다.
ProfileName
일반적으로 SSID를 가리킵니다.
Description
일반적으로 SSID를 가리킵니다.
Managed
네트워크의 유형을 결정하는 일종의 Swich입니다.
- 0 : unmanged (Wireless router에 연결된 경우입니다)
- 1 : managed (원격 서버에 연결된 경우입니다)
Category
네트워크 설정을 가리킵니다.
- 0 : Public
- 1 : Home
- 2 : Work
DateCreated
네트워크 프로파일이나 연결이 처음으로 이루어진 일시를 기록합니다.
2바이트씩 끊어서 헥사값을 십진수로 변환하는 방법으로 날짜/시간값을 계산합니다.
Local Time으로 표시됩니다.
NameType
네트워크 연결의 유형을 결정합니다.
- 0x06 : Wired
- 0x17 : Broadband
- 0x47 : Wireless
DataLastConnected
해당 네트워크나 프로파일로 마지막으로 연결이 이루어진 때를 표시합니다.
2바이트씩 끊어서 헥사값을 십진수로 변환하는 방법으로 날짜/시간값을 계산합니다.
Local Time으로 표시됩니다.
ProfileGUID 서브키의 Last Written Time (UTC로 표시됨)과 Time Zone 만큼의 시간차만 발생 할 뿐, 사실상 동일한 시각을 가리킵니다.
즉, ProfileGUID 서브키의 시간 정보는 무선연결이 마지막으로 이루어진 때로 보아도 무방합니다.
NetworkList 서브키 아래 Signatures가 보이고, 그 아래 Managed와 Unmanaged 서브키로 나뉘어 집니다.
모든 Wireless 관련 정보는 Unmanaged 서브키에 저장됩니다.
ProfileGUID
NetworkList 키 아래 Profile 서브키를 가리키는 Identifier입니다.
Description
일반적으로 SSID 이름과 동일합니다.
Source
DnsSuffix
FirstNetwork
일반적으로 SSID 이름과 동일합니다.
DefaultGatewayMac
네트워크로 나가는 Gateway MAC 주소입니다.
Unmanaged 서브키의 Last Written Time은 한번 생성되면 그 이후로 시간값이 바뀌지 않기 때문에, 처음으로 연결된 시각으로 보아도 무방합니다.
Unmanaged 서브키는 Header와 Identifier 2 부분으로 나뉘어집니다.
SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Wireless 키 아래에도 각각의 무선 장치가 Unique Identifier와 함께 기록됩니다.
위 키 아래의 Unique Identifier의 Last Written Time이 Profile 키셋 안의 DateCreated 시간값과 일치하는지 확인하는 것이 좋습니다.
SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache\Intranet 키 아래에는 해당 컴퓨터 시스템에서 연결한 인터라넷 목록을 보여줍니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : AD Windows Forensics (Win7)
'FTK' 카테고리의 다른 글
| [FTK] 윈도우 레지스트리 아티팩츠 분석 (11) -USB 장치 (0) | 2022.10.04 |
|---|---|
| [FTK] 윈도우 레지스트리 아티팩츠 분석 (10) (0) | 2022.09.30 |
| [FTK] 윈도우 레지스트리 아티팩츠 분석 (8) (0) | 2022.09.26 |
| [FTK] 윈도우 레지스트리 아티팩츠 분석 (7) (0) | 2022.09.24 |
| [FTK] 윈도우 레지스트리 아티팩츠 분석 (6) (0) | 2022.09.21 |