[AXIOM] 윈도우 레지스트리, 파일시스템 정보 등

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 윈도우 레지스트리, 파일시스템 정보 등에 대해 알아보겠습니다. 모두 화이팅 하세요!!!

 

Windows Registry

운영체제 아티팩츠의 핵심은 윈도우 레지스트리입니다.(At the heart of most of the Operating System artifacts in AXIOM are the Windows Registry files.)

 

 

레지스트리에 대한 Microsoft의 정의

설정 정보를 저장해 둔 계층적 구조의 데이터베이스 (a hierarchical database that stores configuration information)입니다.

컴퓨터에 대한 각 사용자의 프로파일, 시스템 하드웨어에 대한 정보, 설치된 프로그램, 자원 설정 정보가 저장되어 있습니다.

윈도우는 작동하는 동안 지속적으로 레지스트리 정보를 참조합니다.

윈도우 레지스트리 파일이 가장 가치 있는 흔적 중 하나이지만, 그것은 종종 찾기 어려운 포렌식 단서로도 알려져 있습니다.

레지스트리 키 값을 잘 모를뿐만 아니라 레지스트리 파일을 접근하여 분석할 수 있는 도구를 모르는 것이 이유라고 할 수 있습니다.

 

윈도우 레지스트리는 다음의 위치에서 찾을 수 있습니다.

\Windows\System32\Config

\Windows.old\

 

복구되는 레지스트리의 종류는 다음과 같습니다.

범용 하이브 파일

- System

- SAM

- Software

- Security

사용자 프로파일 폴더

- NTUSER.DAT

- UsrClass.dat

Restore Points

Volume Shadow Copy

 

레지스트리 하이브에서 파싱된 아티팩츠는 AXIOM Examine의 Operating System 카테고리 안에 등록됩니다.

레지스트리 키 값을 기반으로 사용자 정의 아티팩츠도 만들 수 있습니다.

 

File System Information

파일 시스템 정보는 시스템 수준의 아티팩츠이고, 이미징된 드라이브의 Boot Record에서 파싱되며, 순차적으로 AXIOM에서 처리됩니다.

Volume Offset (Bytes)값은 해당 아티팩츠가 Master Boot Record (MBR)에서 시작되었는지 아니면 Volume Boot Record (VBR)에서 시작되었는 확인하는데 도움이 됩니다.

 

조사 대상 드라이브에 대한 주요 정보는 다음과 같습니다.

- 드라이브 기하학 (Drive Geometry)

- 파일 시스템

- 볼륨 시리얼 넘버 (VSN)

- 드라이브 유형 (Fixed, removable)

 

Drive IDS And Mounted Devices

조사자가 기본적으로 확인해야 할 사항 중 하나는 드라이브에 데이터를 저장하는데 이용 가능한 모든 공간을 파악하고, 드라이브의 원래의 구조를 알아내는 것입니다.

드라이브 기하학, 포맷 하기, 파티션 나누기와 같은 기본적인 포렌식 원칙에 대한 지식은 파일 시스템 정보를 해석하고 그것을 해당 사건에서 복원된 다양한 운영체제 흔적들과 연결할 때 매우 유용합니다.

 

분석 예제

1. Link 파일 분석을 통해 사용자가 어느 파티션에 접근하였는지 알 수 있습니다.

2. System 레지스트리 하이브에서 MountedDevices 키를 분석하면 논리적 파티션과 연계되는 드라이브 문자를 확인할 수 있습니다.

3. MountedDevices 안의 드라이브 문자를 위한 데이터 필드의 첫번째 4개 바이트는 Drive Signature (or Drive Identifier)를 의미하고, 이것은 MBR의 offset 440번 값과 연결됩니다.

4. 동일한 물리적 디스크에서의 여러 개 논리적 볼륨은 동일한 드라이브 시그너처(Drive Signature)를 갖게 될 것입니다.

5. 드라이브를 포맷하게 되면 Volume Serial Number (VSN)는 변경되나, 드라이브 시크너처에는 영향이 없습니다.

6. 드라이브 시그너처의 변경을 일으키는 유일한 방법은 드라이브를 영구삭제하여, Master Boot Record (MBR)를 영구삭제하여 버리는 것입니다.

7. 윈도우 운영체제를 새로 설치할 때, 사용자는 기본적으로 디스크를 초기화 할 것인지에 대한 선택을 요구받습니다. 이때 사용자는 기본적으로 MBR and Master Partition Table(MPT)을 선택하게 되고, 이렇게 진행하면 드라이브 시그너처가 바뀌게 됩니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Magnet AXIOM Examinations (AX200)