도깬리포렌식스

안녕하세요. 도깬리 포렌식스 입니다. 몹시 흐린 아침입니다. 오늘 부터는 윈도우 레지스트리 중에서도 USB 연결 흔적과 관련된 아티팩츠에 대한 설명을 이어갑니다. 모두 화이팅하세요. Mounted Devices Manager 시스템에 연결된 저장장치를 식별하는 용도로 활용됩니다. SYSTEM\MountedDevices 2가지 종류의 Links로 나뉘어 집니다. DosDevices Number Symbolic Link Volatile storage 특정장치에 할당된 현재의 드라이브 문자를 표시합니다. Persistent Number \\??\Volume 형태를 보여 줍니다 Persistent Link Non-Volatile storage 과거에 연결한 디바이스의 흔적으로 판단할 수 있습니다. 기존 매체를 ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘도 윈도우 레지스트리 아티팩츠 이어갑니다. 모두 화이팅하세요. Wireless User 무선 연결한 사용자와 그 방법을 확인할 수 있습니다. NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Wpad\ 엔트리에 등록된 무선 연결 흔적인 ProfileGuID의 시간정보를 모두 조사하면, 시간별로 무선 연결 내역을 확인할 수 있습니다. NTUSER.DAT 에서 WPAD 서브 키 아래에 MAC 주소가 확인됩니다. 이것은 SOFTWARE 레지스트리 하이브에서 Unmanaged 키에서 발견되는 MAC 주소와 동일합니다. NTUSER.DAT 에서의 Last Written Time은 SOFTWARE 하..

안녕하세요. 도깬리 포렌식스 입니다. 오늘도 윈도우 레지스트리 아티팩츠에 대한 설명을 이어 갑니다. 다시 말씀 드리지만 이번 시리즈는 윈도우 7 기반입니다. 이러한 점을 감안하시어 이해하여 주시면 고맙겠습니다. 추후 윈도우 8이나 10에서 레지스트리의 변경 사항을 추가적으로 소개할 시간을 갖도록 하겠습니다. 그럼 오늘도 시작해볼까요? Last Logged On User 사용자의 마지막 로그온 기록이 저장됩니다. SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI LastLoggedOnSAMUser 값에서 가장 마지막으로 로그온 한 사용자와 컴퓨터명을 확인 가능합니다. 위 서브키의 Last Written Time 값의 의미는 다음과 같이 분석..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 윈도우 레지스트리 8번째 시간입니다. 모두 화이팅 하세요. System file – Time Zone Info 분석관의 컴퓨터와 조사 대상 컴퓨터는 TimeZone이 일치해야 합니다. SYSTEM\ControlSet##\Control\TimeZoneInformation 시간 정보 분석의 2가지 관점 (1) TimeZone을 어떻게 설정하였는가 입니다. (2) 파일시스템(FAT/NTFS)에 따라 시간정보가 다르게 기록된다는 겁니다. FAT System clock에 설정된 local time으로 저장됩니다. NTFS 컴퓨터의 현재 설정을 기반으로 하여, UTC 형태로 저장됩니다. FTK는 FAT으로 기록된 시각을 모두 UTC로 바꾸어 DB에 저장합니다. 증거이미지..

안녕하세요. 도깬리 포렌식스 입니다. 오늘도 윈도우 레지스트리에 대한 설명을 이어 갑니다. 모두 화이팅 하세요. Transition to 64-bit Windows 64비트 컴퓨터에서 32비트 프로그램을 설치한 흔적은 아래의 위치에 남습니다. 파일시스템 l C:\Windows\sysWOW62 레지스트리 l SOFTWARE\Wow6432Node SAM File Information 각 사용자의 RID는 Users 서브키 셋에 F값과 V값으로 기록됩니다. F 값 Fixed format 로그온 정보를 바이너리 포맷으로 저장합니다. - 마지막 로그온 일시 - 마지막 패스워드 변경 일시 - 마지막 로그온 실패 일시 - 총 로그온 횟수 - RID 정보 V 값 Variable format - 사용자 이름 - 사용자의..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 윈도우 레지스트리 아티팩츠 6번째 시간입니다. 가을이 온 듯 하네요! 모두 화이팅 하세요. UsrClass.DAT - MuiCache 과거에 구동한 적이 있는 어플리케이션이나 시스템 실행파일에 대한 흔적을 알 수 있습니다. 레지스트리 서브키의 위치는 다음과 같습니다. Windows XP HKCU\Software\Microsoft\Windows\ShellNoRoam\MuiChache Windows Vista, 7 HKCU\Local Settings\Microsoft\Windows\Shell\MuiChache 시스템에서 구동한 실행파일 흔적 UsrClass\Local Settings\MuiCache\\ 사용자가 구동한 어플리케이션 흔적 UsrClass\Local ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 윈도우 레지스트리 아티팩츠 5번째 시간입니다. 모두 화이팅 하세요!!! Protected Storage 아래의 위치에 기록됩니다. NTUSER.DAT\Software\Microsoft\Internet Explorer\IntelliForms\ Internet Explorer version 7 이후로 Protected Storage Data(기존 버전에서는 Protected Storage System Provider, PSSP)가 IntelliForms 서브키에 저장됩니다. 값은 Windows DPAPI (Data Protection Application Programming Interface)로 암호화되어 있습니다. 암호화 시스템은 아래의 데이터를 이용하여 암호..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 윈도우 레지스트리 아티팩스 4번째 시간입니다. 다시 한번 말씀드리지만 이번 시리즈는 윈도우 7 기반으로 작성된 것임을 참고하시기 바랍니다. 향후 기회가 되면 윈도우 10 기반 아티팩츠도 포스팅할 계획이오니 참고하시기 바랍니다. 자, 시작할까요? Windows 7 – Start > Searches 윈도우 검색 흔적입니다. Windows XP --> 검색흔적을 남깁니다 (5603 서브키에 남김) Windows Vista --> X Windows 7 --> 검색흔적을 남깁니다 (WordWheelQuery 서브키에 남김) 색인된 Windows 폴더에 대한 검색 흔적은 다음 위치에서 확인 가능합니다. SOFTWARE\Microsoft\Windows Search\Craw..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 윈도우 레지스트리 아티팩츠 분석 세번째 시간입니다. 모두 화이팅 하세요!!! MRUs – Run MRUs Run MRU 서브키의 위치는 NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU Start(시작) --> Run command box (명령어 실행창)에서 사용자가 입력한 것을 확인 가능하게 합니다. 실행창에서 명령어를 오입력하여 에러 난 경우에는 그 목록이 저장되지 않습니다. 마지막 10개(a~j)만 저장됩니다. MRUs – MS Office Office 2007에서의 File MRU는 마지막으로 열어본 문서에 대한 정보(파일이름, 경로)를 저장합니다. 기존의 Open and Sav..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 윈도우 레지스트리 아티팩츠 2번째 시간입니다. 추석 연휴 첫날이네요. 풍성한 한가위가 되길 바랍니다. ComDig32 - LastVisitedPidMRU Open / Save as 대화창을 통해 문서를 여는데 이용한 64비트 프로그램이 무엇이었는지 확인할 수 있습니다. 어플리케이션의 이름과 경로를 알 수 있습니다. ComDig32 - LastVisitedPidMRULegacy 어플리케이션 이름과 경로를 알 수 있습니다. 32비트 어플리케이션에 대한 정보는 여기에 저장됩니다. ComDig32 - OpenSavePidMRU 포렌식적으로 가장 관심이 가는 키중에 하나입니다. Open / Save 대화창을 이용한 프로그램에 한정하지만, RecentDocs 키와 비슷한..