[FTK] 윈도우 라이브러리와 홈그룹 등

안녕하세요. 도깬리 입니다.

 

"윈도우 디지털 포렌식 완벽 활용서" 출간과 카카오 서버 화재로 인하여 부득이 중단하였던 포스팅을 계속 이어 가고자 합니다. 아울러 저의 첫번 째 도서 출간에 많은 관심과 성원을 보내 주신데에 대해 다시 한번 감사의 말씀을 드립니다. 오늘은 윈도우7의 라이브러리와 홈그룹에 대하여 알아 보겠습니다.

 

Libraries

주요 조사의 대상이 되는 아티팩츠 가운데 하나입니다.

파일을 찾거나 저장을 위한 기본 위치입니다.

- Documents

- Music

- Pictures

- Videos

 

 

Adding Libraries

새로운 라이브리 위치를 Libraries에 추가할 수 있습니다.

사용자 프로파일 내에 XML 형태의 파일이 만들어 지고, 여기에 연동하고 싶은 ‘폴더’를 포함 시키면 됩니다.

 

 

Adding Folders to Libraries

라이브리 --> 오른 마우스 --> 속성에서 추가 가능합니다.

탐색기 --> 오른 마우스에서도 추가 가능합니다.

Libraries를 만들면 아래의 위치에 XML 파일(.library-ms) 포맷으로 생성됩니다.

User\<username>\AppData\Roaming\Microsoft\Windows\Libraries

 

 

Forensic Artifacts – Libraries

사용자가 Libraries에 추가한 흔적은 아래의 레지스트리에도 기록이 남습니다.

SOFTWARE\Micosoft\Windows Search\Gather\Windows\SystemIndex\StarPages

 

 

HomeGroup

윈도우 7은 HomeGroupUser$ 라는 공통 사용자 계정을 공유합니다.

 

Workgroups

모든 컴퓨터는 단지 peer일 뿐, 서로간에 통제하지 않습니다.

최대 20대의 컴퓨터를 하나의 그룹으로 묶을 수 있습니다.

 

HomeGroups

홈 네트워크 상의 컴퓨터들은 Workgroups 뿐만 아니라, HomeGroups에도 소속될 수 있습니다.

윈도우 7에서는 기본적으로 Off 되어 있습니다.

일단, HomeGroup이 설정되면 ‘공유 파일과 폴더’가 해당 시스템에 로그온 하는 모든 계정에 생성됩니다.

임의의 패스워드에 의해 보호됩니다.

서로 다른 접근 권한이 부여될 수 있습니다.

기밀 데이터는 공유되지 않을 수 있습니다.

 

Domains

하나 이상의 컴퓨터가 서버가 됩니다.

네트워크 관리자는 서버를 시용하여 모든 컴퓨터의 보안을 관리합니다.

하나의 도메인에는 수천대의 컴퓨터가 소속될 수 있습니다.

 

HomeGroup – Registry Settings

아래의 레지스트리에서 HomeGroup을 설정한 개별 사용자의 SID와 해당 계정에서 공유하고 있는 개체를 보여줍니다.

SOFTWARE\Microsoft\Windows\CurrentVersion\HomeGroup\SharingPerferences\<SID>

레지스트리 값이 ‘1’인 것이 활성화된 것을 의미합니다.

Last Written Time은 마지막으로 HomeGroups를 설정한 시각입니다.

 

 

HomeGroup – Registry

SYSTEM 레지스트리에도 HomeGroup 활성화에 관한 정보가 기록됩니다.

SYSTEM\ControlSet##\services\HomeGroupProvider\ServiceData

 

LastChangedHi

패스워드를 마지막으로 설정한 때을 나타냅니다.

 

LocalJoiningUser

HomeGroup 공유를 활성화한 사용자 계정명을 보여줍니다.

 

OwnerMachineName

System NetBIOS 이름 (컴퓨터 이름) 입니다.

 

Password

공유 패스워드 (바이너리 포맷)입니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : AD Windows Forensics (Win7)