도깬리포렌식스

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 윈도우 레지스트리 심화학습 마지막 시간입니다. 어제부터 장마가 시작되었나 봅니다. 하루 종일 비가 내려 집안 구석구석이 물을 먹어 무거워 보이네요. 하지만 오늘도 모두 힘내요. UserAssist 데이터 Windows XP 이후 시스템은 사용자의 NTUSER.DAT에 아래의 키를 포함합니다. - HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist 사용자의 프로그램 사용 기록을 저장하고 있습니다. UserAssist 키에 저장된 어플리케이션 경로는 기본적으로 ROT13으로 인코딩(난독화, obfuscation)되어 있습니다. 이것은 일종의 대입 암호(substitution cipher)입니다. ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 윈도우 레지스트리 심화학습 3번째 시간입니다. 모두 화이팅하세요. 컴퓨터 관련 추가적인 레지스트리 설정 정보 NTRegistry\Security\Policy\PolAcDmN\Default 네트워크상의 컴퓨터 호스트 이름을 확인할 수 있습니다. 네트워크 상에서 해당 컴퓨터를 식별하는 friendly name 입니다. NTRegistry\Security\Policy\PolAcDmS\Default 네트워크상의 로컬 컴퓨터의 SID를 확인할 수 있습니다. NTRegistry\Security\Policy\PolPrDmN\Default 컴퓨터에 대한 Primary Domain을 확인할 수 있습니다. 해당 컴퓨터가 네트워크에 연결하여 인증 받는 도메인에 대한 friendl..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 윈도우 레지스트리 심화 분석 두 번째 시간입니다. 한 주가 시작되는 월요일, 몸이 무겁겠지만 활기찬 하루가 되길 바래요. 레지스트리 엔트리 보안 정보 (Security Info) SAM, SECURITY 에서 보안 관련 정보를 확인 가능합니다. SAM 에는 사용자와 그룹에 대한 정보를 포함합니다 기본적으로 2개의 내장된 계정(Built-in account)이 존재합니다. - 로컬 관리자 계정(Administrator) - 게스트 계정(Guest) 모든 로컬 계정은 SAM에 저장됩니다. 사용자 계정과 SID(Security Identifier)간의 매핑 여부를 확인해야 합니다. SID 정보를 통해 워크스테이션 상의 도메인 계정을 확인 가능합니다. SAM 사용자 ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘부터는 윈도우 레지스트리(Windows Registry)에 대하여 심화 학습을 하겠습니다. 윈도우 포렌식에서 가장 어려운 아티팩츠 중에 하나가 바로 윈도우 레지스트리입니다. 나에게 어려우면 다른 사람도 당연히 어려운 법 !!! 자신감을 갖고 시작해볼까요? 윈도우 레지스트리 개요 레지스트리는 2개의 상태로 존재합니다. 온라인 레지스트리(Online Registry) 시스템이 작동하고 있는 동안에만 볼 수 있습니다. 오프라인 레지스트리 파일(Offline Registry Files) 시스템이 꺼져 있을 때의 레지스트리 상태를 보여줍니다. 온라인 레지스트리 조사하기 Start --> Run --> REGEDIT 레지스트리 엔트리를 변경 또는 삭제할 경우 OS에 치명적인..