안녕하세요. 도깬리 포렌식스 입니다.
오늘은 파티션 구조와 운영체제 정보, 타임존 정보에 대하여 살펴 봅니다. 모두 화이팅 하세요!!!
Partitioning Scheme
드라이브 시그너처를 확인하고, 그것이 MountedDevices 키에서 시스템 볼륨을 위해 저장된 것과의 일치 여부를 확인한 다음, Master Partition Table (MPT)을 찾습니다.
파티션 테이블도 Drive Identifier 처럼 조사 대상 드라이브의 논리적 구조를 알게 합니다.
MPT는 MBR의 오프셋 446에 위치하고, 파티션 테이블 엔트리 하나 당 64 바이트의 크기를 갖습니다.
각각의 엔트리는 최대 16 bytes로 구성됩니다.
Active(Bootable) 파티션 엔트리는 헥사값 ‘80’으로 시작하고, Non-bootable entry는 ‘00’으로 시작합니다.
고의적으로 숨겨진 파티션들은 ‘15’, ‘1F’, ‘91’, ‘9B’로 시작할 겁니다.
Operating System Information
System과 Software 레지스트리 파일을 해석하여 Operating System Information 아티팩츠를 보여 줍니다.
설치된 운영체제의 버전(version)은 분석 대상인 운영체제의 기능을 확인하는데 도움이 됩니다.
예) Professional 버전이 아니라 Ultimate 버전의 경우, BitLocker 암호화를 처리해야 할 가능성도 고려해야 함
운영체제의 빌드 번호(build number)는 특정한 아티팩츠가 존재할 것인지 확인하는데 도움이 됩니다.
예) 빌드번호 1803부터 Alt+tab 키를 누르면 사용자가 타임라인(Timeline)을 만들 수 있음
컴퓨터 이름 정보는 윈도우 이벤트 로그를 조사할 때 유용합니다.
즉 사용자가 수행한 호스트 시스템과 관련된 활동을 식별해 낼 수 있습니다.
SOFTWARE\Microsoft\Windows NT\CurrentVersion
- OS version
- OS build number
- OS installation date/time
- Digital product key information
- OS installation path
- Product name
- Registration for the OS
ShutdownTime
System 하이브에서 파싱하여 보여 줍니다.
8bytes Windows date and time (Little Endian)
Timezone Information
Software 레지스트리 하이브에 위치 합니다.
SOFTWARE\Microsoft\Windows NT\CurrentVersion\TimeZones
타임존 아티팩츠는 System과 Software 하이브 파일에서 파싱한 것을 보여줍니다.
System 레지스트리 하이브의 타임존 관련 정보의 위치는 다음과 같습니다.
\ControlSet###\Control\TimeZoneInformation
로컬 컴퓨터의 타임존을 확인한 다음, 조사자는 조사 대상 시스템의 타임존을 반영하기 위하여 포렌식 소프트웨어의 타임존을 조정해야 합니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : Magnet AXIOM Examinations (AX200)
'AXIOM' 카테고리의 다른 글
| [AXIOM] USB Devices 분석 (0) | 2023.03.23 |
|---|---|
| [AXIOM] 사용자 계정, F값과 V값 (0) | 2023.03.20 |
| [AXIOM] 윈도우 레지스트리, 파일시스템 정보 등 (0) | 2023.03.15 |
| [AXIOM] 윈도우 운영체제 아티팩츠 분석 개요 (0) | 2023.03.13 |
| [AXIOM] 인터넷 아티팩츠 분석기능 (9) (0) | 2023.03.10 |