안녕하세요. 도깬리 포렌식스 입니다.
오늘도 윈도우 레지스트리 아티팩츠 이어갑니다. 모두 화이팅하세요.
Wireless User
무선 연결한 사용자와 그 방법을 확인할 수 있습니다.
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Wpad\<ProfileGUID>
엔트리에 등록된 무선 연결 흔적인 ProfileGuID의 시간정보를 모두 조사하면, 시간별로 무선 연결 내역을 확인할 수 있습니다.
NTUSER.DAT 에서 WPAD 서브 키 아래에 MAC 주소가 확인됩니다.
이것은 SOFTWARE 레지스트리 하이브에서 Unmanaged 키에서 발견되는 MAC 주소와 동일합니다.
NTUSER.DAT 에서의 Last Written Time은 SOFTWARE 하이브 안의 Profile 키의 DateCreated 값과 동일하지 않지만, 거의 비슷합니다.
WPAD (Web Proxy Auto Discover Protocol)
모든 연결된 네트워크에서의 프록시 정보를 자동으로 탐지해주는 프로토콜입니다.
연결이 성공했을 때만 위 레지스트리에 기록된다.
Recycle Bin
조사하기 전에 휴지통의 우회 여부를 먼저 확인하는 것이 좋습니다.
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucker\Volume\GUID
윈도우 XP : SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\<drvieletter>
사용자가 마운트된 볼륨에 휴지통을 사용한 적이 있는 확인하려면, NTUSER.DAT에서 BitBucket의 GUID와 SYSTEM에서 MountedDevices의 GUID가 일치하는 지 여부를 확인하는 것이 좋습니다.
BitBucket에서의 각 Voulme 별 GUID 아래의 값은 다음과 같습니다.
MaxCapacity
휴지통의 크기 (MB)
NukeOnDelete
휴지통의 우회 여부 : 0 (휴지통 사용), 1 (휴지통 우회)
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : AD Windows Forensics (Win7)
'FTK' 카테고리의 다른 글
| [FTK] 윈도우 레지스트리 아티팩츠 분석 (12) - USB장치 (0) | 2022.10.06 |
|---|---|
| [FTK] 윈도우 레지스트리 아티팩츠 분석 (11) -USB 장치 (0) | 2022.10.04 |
| [FTK] 윈도우 레지스트리 아티팩츠 분석 (9) (0) | 2022.09.28 |
| [FTK] 윈도우 레지스트리 아티팩츠 분석 (8) (0) | 2022.09.26 |
| [FTK] 윈도우 레지스트리 아티팩츠 분석 (7) (0) | 2022.09.24 |