안녕하세요. 도깬리 포렌식스 입니다.
오늘은 Mounted Devices, Mountpoints2, UserAssist에 대해 알아 보겠습니다. 모두 화이팅 하세요!!!
Mounted Devices
드라이브 문자와 디바이스 일치시킬 때 참조하는 아티팩츠입니다.
System 레지스트리 파일 아래 MountedDevices 에서 발견된 데이터는 (만약 할당되었다면) 그 디바이스에 드라이브 문자가 일치하는 지, 또는 (만약 과거에 윈도우 운영체제에 의해 마운트 되었다면) volume GUID를 그 디바이스와 일치하는 지 확인할 때 참조할 수 있습니다.
사용자와 디바이스 맵핑하기
윈도우 사용자와 USB 디바이스를 연결할 수 있습니다.
즉 USB 디바이스를 누가 연결한 것인지 확인할 수 있습니다.
Mounted Devices 키 엔트리는 일반적으로 2개의 카테고리로 나뉘어 집니다.
휘발성 엔트리
휘발성 엔트리는 드라이브 문자와 연결되나, 운영체제나 사용자에 의해 자동으로 할당된 것 입니다.
예) 시스템 볼륨은 C:\로 예약되어 있고, A:\와 B:\는 구형 플로피 디스크 드라이브로 예약되어 있음
비휘발성 엔트리
사용자가 추가적으로 만든 논리적 볼륨은 시스템이 부팅할 때 마운트됩니다.
예) D:\ 드라이브 처럼 고정된 드라이브 문자(Non-Volatile)가 할당됨
USB가 연결되었을 때, 윈도우는 해당 디바이스의 파일시스템을 인식하기 시작합니다. 만약 인식되면, 윈도우는 다음 이용 가능한 드라이브 문자(예: E:\, F:\, G:\ 등)를 할당합니다.
새로운 USB 디바이스가 연결될 때까지, MountDevices 키의 드라이브 문자 할당은 여전히 이전에 연결된 USB에 대한 정보를 유지할 겁니다.
일단 새로운 USB 드라이브가 연결되면, 그것은 다음 드라이브 문자를 받아 들일 것이고, \DosDevices\F: 값에 이전에 저장된 정보는 MountedDevices 키의 비휘발성 엔트리로서 저장될 것이며, 심볼릭 링크 명명 규칙인 “\??\”로 인식됩니다.
심볼릭 링크에서 값은 “Volume GUID”로 저장될 것이고, 드라이브 문자 엔트리에 이전에 저장된 정보는 그대로 남아 있을 겁니다.
심볼릭 링크에 저장된 데이터는 System 레지스트리 파일의 DeviceClasses 키에서도 발견될 것이고, 조사 대상 호스트 시스템에 USB 드라이브를 연결한 것에 대한 또 하나의 검증 포인터가 됩니다.
AXIOM은 마지막으로 할당된 드라이브 문자에 대한 복원을 시도합니다.
MountPoints2
식별자로써 Volume GUID는 USB Devices 카테고리에서 다루어지는 가장 가치있는 정보중 하나입니다.
이것은 특정한 윈도우 사용자를 USB 드라이브와 연결시켜 줍니다.
System 레지스트리의 MountedDevices와 DeviceClasses 키를 사용자의 NTUSER.dat 에서의 MountPoints2 키와의 조합하여 맵핑시킵니다.
MountPoints2 키는 사용자가 접근할 수 있는 모든 볼륨과 컴퓨터에 로그인 하는 동안 연결되었던 모든 디바이스를 나열합니다.
MountDevices 에서 확인된 Volume GUID를 이용하여, NTUSER.dat 에서 USB 디바이스를 연결했었던 사용자에 해당하는 키를 찾을 수 있습니다.
GUID가 표시된 키에 관련된 타임스탬프는 사용자가 디바이스를 연결하였던 일시를 가르킵니다.
UserAssist
UserAssist 아티팩츠는 NTUSER.dat 파일의 다음 경로에 위치합니다.
Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\<GUID>\Count
Count 서브 키에 사용자가 만들고 접근하였던 바로가기에 대한 정보 뿐만 아니라 사용자가 구동하였던 어플리케이션에 대한 정보도 기록되어 있습니다.
이 아티팩츠는 NTUSER.dat에서 파싱한 것이기 때문에, 해당 사용자에게만 귀속되며, 시스템에서의 사용자의 행위에 대한 의미있는 통찰력을 조사자에게 제공합니다.
다음과 같은 정보가 확인된다.
- 사용자가 구동한 어플리케이션의 이름
- 어플리케이션이 실행된 횟수
- 어플리케이션이 마지막으로 실행된 일시
- 대표적인 UserAssist 키의 GUID
조사 대상 윈도우의 버전에 따라 다릅니다.
- Link (*.lnk) 엔트리 (Windows 10의 경우)
{FA99DFC7-6AC2-453A-A5E2-5E2AFF4507BD}
- Application (*.exe) 엔트리 (Windows 10의 경우)
{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}
Count 값 안의 데이터는 ROT13 이라는 난독화 기술로 저장되어 있습니다.
영어 알파벳 문자를 오른쪽으로 13자리 만큼 rotate 시키는 기술입니다.
예) Chrome ---> Puebzr
AXIOM은 File Name에 대한 ROT13을 복호화시켜 줍니다.
아울러, Application Run Count, Last Run Date/Time도 보여줍니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : Magnet AXIOM Examinations (AX200)
'AXIOM' 카테고리의 다른 글
| [AXIOM] Jump Lists 분석 (0) | 2023.03.30 |
|---|---|
| [AXIOM] Link Files와 Recent Docs (0) | 2023.03.28 |
| [AXIOM] USB Devices 분석 (0) | 2023.03.23 |
| [AXIOM] 사용자 계정, F값과 V값 (0) | 2023.03.20 |
| [AXIOM] 파티션 스킴, 운영체제 정보, 타임존 정보 (0) | 2023.03.17 |