수사기관이 　 PC 안을 들여다 본다면．

때릴꺼야?(119.67) 2015.03.16 22:43:27

조회 933 추천 0 댓글 0

윈도우 레지스트리로부터 PC 사용자의 정보를 추출하기．

http://blog.naver.com/jb8917/120178594220

Registry

윈도우 운영체제에서 운영체제와 응용프로그램 운영에 필요한 정보를 저장하기 위해 고안한 계층형 데이터베이스

시스템 환경 설정 값과 어플리케이션 정보를 보관

모든 시스템/어플리케이션의 작동 기록과 활동 기록을 남기는 방대한 로그로서의 역할도 수행

HKEY_CLASSES_ROOT(HKCR)

시스템에 등록된 파일확장자와 그것을 열 때 사용할 어플리케이션에 대한매핑 정보 저장

HKEY_CURRENT_USER(HKCU)

현재 로그온하고 있는 모든 사용자와 그룹에 대한 정보 저장

패스워드 정보도 포함되어 있으나 관리자도 접근 불가

HKEY_USERS(HKU)

유저들의 SID에 대한 정보 저장

HKCU는 HKEY_USERS의 항목 중 현재 로그 온한 사용자의 SID 항목에 대한 단축경로임

.DEFAULT 항목은 유저들의 공통된 사항(내용)이 들어 있는 키임

HKEY_LOCAL_MACHINE(HKLM)

시스템 전체에 해당하는 환경 설정 정보를 저장

HKLM\HARDWARE

- 부팅 시 수집된 하드웨어 정보가 저장

- Memory에만 저장되며 하드디스크에 저장되지 않으므로 라이브 포렌식에서직접 분석해야 함 HKLM\SAM

- 사용자 패스워드, 소속그룹, 도메인 정보와 같은 로컬 계정 정보와 그룹정보 저장

- 관리자 계정이라도 접근이 불가능하며 오직 시스템 계정만 접근 가능

HKLM\SECURITY

- 시스템 보안 정책과 사용자 권리 할당 정보를 저장하고 있으며,

SAM 항목과마찬가지로 시스템계정만 접근 가능

HKLM\SOFTWARE

- 설치되어 있는 소프트웨어에 대한 정보 저장

HKLM\SYSTEM

- 운영체제에 관련된 정보 저장항목은 바로 위 항목에 위치한

- HKLM\SYSTEM\CurrentControlSet항 ControlSet001 or ControlSet002 목에 대한 바로가기 내용임

: 일반적으로 ControlSet001 항목이 가장 최근 부팅에서 사용된 키 값이고,ControlSet002 항목이 마지막으로

성공한 구성에 대한 키 값일 경우가 많음

- HKLM\SYSTEM\CurrentControlset\Services: 윈도우에 설치된 서비스 정보 출력

HKEY_CURRENT_CONFIG(HKCC)

부팅 시 사용하는 하드웨어 프로파일 정보 저장

HKLM\SYSTEM\Hardware Profiles\Current에 대한 바로가기 항목임

윈도우는 타 OS와 다르게 레지스트리에 의존도가 높은편이다.
때문에 어플리케이션, 계정, 보안, 하드웨어(USB 등) 정보 거의 대부분을 레지스트리에 기록을 남기게 된다.
디지털 포렌식에서는 이를 이용해서 상당히 유용한 정보를 수집할 수 있다.

레지스트리 5대 트리를 간략히 정리 (실행창에 regedit 을 입력하면 레지스트리들을 트리구조로 볼 수 있다)
HKEY_CLASSES_ROOT : 파일 확장자에 대한 정보. 파일과 프로그램 연결에 대한 정보. 마우스 우클릭정보 등

HKEY_CURRENT_USER : 현재 로그인중인 사용자들에대한 정보, 응용프로그램 관련 정보, 보안접근 허용관련 접근 등 설치된 윈도우 환경설정정보들 포함

HKEY_LOCAL_MACHINE : 하드웨어 구성 초기화 파일, 제어판과 밀접한 파일, 드라이버 정보 등

HKEY_USERS : 이전 사용자 초기화 파일 보관, 두 키 사이가 겹치면 HKEY_CURRENT_USER가 우선시됨

HKEY-CURRENT_CONFIG : 윈도우의 디스플레이 정보와 프린터 관련 정보

:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU
최근 열리거나 저장된 파일목록 들어있다.(MRU : most recently used)

:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
사용자가 접근한(실행한) 프로그램

:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00x\Enum\USBSTOR
usb 장치 정보

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
의 AppInit_DLLs. 어플리케이션 실행시 로딩되는 dll (dll injection을 이용한 악성코드는 이곳을 이용하기도 한다)

1371C9244C602CBE304B90

setupapi에 대한 MSDN의 설명

137665314C602D4B03CB73

Setupapi.log의 세부적인 로그 메시지

207461204C602B7DAB6D15

레지스트리에서 USB의 정보를 역으로 추출하는 프로그램

※ 포렌식이란

- 범죄현장에 대해서 객관적인 자료 수집과 수집한 자료를 통해서 사건의 증거자료나 원인 등을 분석 후 사법기관에 제출 할 수 있는 보고서와 제출용 자료를 만드는 방법

-> 전자기기들을 하나의 증거물에서 범죄현장 그 자체로 인식하는 것을 디지탈 포렌식이라 한다.

- 디지털 형태로 정보를 저장하는 모든 기기를 대상으로 조사하는 것을 디지털 포렌식 , 컴퓨터 포렌식의 대상은 오직 컴퓨터에 한정되며, 사이버 포렌식은 컴퓨터 포렌식과 거의 유사하지만 컴퓨터와 네트워크의 결합을 말한다.

-> 디지털 포렌식 ⊃ 컴퓨터 포렌식 ⊇ 사이버 포렌식

- 컴퓨터 포렌식은 OS , 네트워크 , 서버 , e-Discovery 에 따라서 여러 종류로 나눠진다.

※ 라이브 리스폰스

- 휘발성 정보(Volatile Data)를 수집 및 분석하는 방법 ( 비휘발성 정보도 물론 수집한다 )

- 컴퓨터가 꺼져있는 상태라면 라이브 리스폰스 작업을 할 수가 없다. ( 꺼져있는 컴퓨터를 다시 켜서 작업을 실행하는 것은 범죄현장의 증거물을 변화시키지 않는 기본 원칙에 위반된다. )

*휘발성 정보 : 시스템 시간, 네트워크 연결정보, 로그온 사용자정보 등등 컴퓨터가 꺼지거나 로그오프되면 사라지는 정보를 말한

중요성

① 휘발성 정보에서만 얻을 수 있는 Data가 존재한다.

② 시스템의 대략적인 상태를 파악하여 조사 방향을 잡는데 밑거름을 제공한다.

③ 서버컴퓨터와 같이 작동을 정지하면 안되는 컴퓨터를 조사할 때 유용하다 ( 금전적 손실 방지 )

@라이브 리스폰스는 항상 해야 좋지만 수행해서 안되는 경우가 있다.

① 비휘발성 저장장치에서 증거의 수정 및 삭제가 일어나는 경우( 디스크포맷 , 안전삭제 등 )

범죄자가 침입한 상태라면 제한적인 휘발성 정보( 네트워크 연결 정보 , 메모리 덤프를 우선적으로 수집 )

을 빨리 수집한 후 플러그를 OFF시킨다.

-> 플러그 OFF란 전원 플러그를 뽑는다. 하지만 서버용 OS나 서버 어플리케이션이 설치된 컴퓨터는 정상종료

( 데이터의 손실이 심각할 수 있으므로. DB는 큰 문제가 된다. )

② 사용하려는 도구들이 조사하고자 하는 윈도우 버전에서 충분한 검토가 이루어지지 않은 경우.

컴퓨터에 어떠한 영향을 주고 그것이 증거의 무결성이 훼손될 가능성이 있으므로.

원칙

- 원본에 미치는 영향을 최소화 한다. ( 로카르드 교환 법칙 )

▶메모리 : 데이터의 수정삭제 ① 프로세스의 실행으로 인한 이전 data의 손실

② 커널 오브젝트를 관리하는 시스템 테이블 갱신

▶네트워크 : 네트워크 기능이 있다면 로그파일의 생성으로 인한 이전 로그 삭제와

커널 오브젝트에 의해 관리되므로 커널 테이블이 갱신된다.

▶프리패치 : 윈도우는 프로그램 실행시 prefetch라는 파일이 생선된다 -> 프리패치파일의 삭제가 일어난다.

▶레지스트리 : 레지스트리 접근 - 하이브 파일의 접근 시간 갱신

레지스트리 쓰기작업 : 레지스트리 키의 마지막 쓰기 시간 변경

▶DLL(Dynamic Link Library) : 정적 링킹(static linking)으로 컴파일 되지 않는

프로그램은 외부함수를 이용하려면 DLL이 필요

- > 접근시 접근 시간 갱신

*DLL은 크게 상관 없지만 해커나 악성프로그램에 의해 교체됐다면 문제발생

▶로그파일 : 도구의 에러, 이벤트 로그 등으로 기록을 남김 -> 기록의 삭제,수정

포렌식 개론 - 1                    http://boanin.tistory.com/48
포렌식 개론 -2                    http://boanin.tistory.com/62
포렌식 - 파일시스템 http://boanin.tistory.com/78
포렌식 - 윈도우포렌식1   http://boanin.tistory.com/85

고정닉 0

원본 첨부파일 1

이 이상 좋게 줄 수 없다.jpg

전체 댓글 0개

등록순

본문 보기

타인의 권리를 침해하거나 명예를 훼손하는 댓글은 운영원칙 및 관련 법률에 제재를 받을 수 있습니다.
Shift+Enter 키를 동시에 누르면 줄바꿈이 됩니다.

갤러리 리스트
번호	제목	글쓴이	작성일	조회	추천
설문	연인과 헤어지고 뒤끝 작렬할 것 같은 스타는?	운영자	24/04/22	-	-
공지	-소프트웨어 갤러리 무료백신 공지사항 (플래쉬-_-v) - [31]	*Avast*	09.02.27	16173	1
공지	바이러스, 악성코드 지대로 지우는 방법(바이러스 플그램 조합) [46]	*트루먼쇼*	07.08.07	31644	2
공지	소프트웨어 갤러리 이용 안내 [45]	*운영자*	05.11.14	13405	1
33104	여자친구의 바람피우는 것을 잡아주는 소프트웨어	소갤러(103.220)	04.24	10	0
33103	맥유저인데 페러럴즈데탑 문의좀..	소갤러(61.253)	04.17	16	0
33102	여기에 질문하는게 맞나모르겟다	소갤러(211.241)	04.17	16	0
33099	학교에서 노트 줬는데요 이거	소갤러(211.199)	04.06	31	0
33098	노트북으로 집에있는 데스크탑 원격사용에 관해 궁금한게 있어요.	소갤러(61.98)	04.06	28	0
33097	미러링 SCRCPY 프로그램 여러폰도 연결 가능한가요?	소갤러(1.255)	04.05	24	1
33086	컴퓨터 소리 갑자기 안나는데 이거 어카냐 ㅠㅠ	소갤러(175.215)	03.09	45	0
33085	스틸시리즈 키보드 사서 소프트웨어 깔았는데 여기서 어케진행함?	소갤러(59.13)	03.07	64	0
33084	해킹당한건가 씹	소갤러(39.122)	03.07	67	0
33083	장치관리자 기타장치에 마우스가 계속 뜨는데 왜 그런건가요?	소갤러(58.232)	03.01	45	0
33082	시스템 관리자가 이 앱을 차단했습니다	소갤러(175.120)	02.23	68	0
33081	ㅈ댔는데 구해줄사람	ㅇㅇ(118.235)	02.19	54	0
33079	형님들 바탕화면에서 폴더를 지워버렸는데	ㅇㅇ(27.117)	02.19	46	0
33078	구루구루 ... 아시는분들	호호(39.126)	02.17	44	0
33076	이거 블루스크린 해결 방법이 뭔가요?	소갤러(210.219)	02.01	78	0
33075	윈도우 16비튼데 펠월드할때 큰 문제있음???	소갤러(119.199)	01.29	68	0
33073	구라제거기 선택좀 해주십쇼	소갤러(175.197)	01.23	79	0
33070	형들이게 뭔가요??	소갤러(222.121)	01.17	52	0
33069	형님들 인터넷 왜이런지 봐주세요.jpg	ㅇㅇ(39.113)	01.16	66	0
33067	급 도움	소갤러(223.131)	01.05	71	0
33066	마크 설치할려 하는데 왜이럼?	Nerastia(211.186)	23.12.16	69	0
33065	마우스 커서를 정해진 좌표내에서만 가두고 움직이게 하는 프로그램 없나요?	소갤러(211.234)	23.12.14	66	0
33064	LG가 애플처럼 '그램(Gram)'이라는 이름의 OS를 만든다면 어떨까	ㅇㅇ(183.97)	23.12.13	146	0
33063	배경화면 설정 왤캐 족같음?	소갤러(122.35)	23.12.08	60	0
33062	좌클릭 버튼으로 좌클릭 우클릭 동시에	소갤러(14.4)	23.12.01	56	0
33060	윈11 질문좀	소갤러(222.108)	23.11.14	83	0
33059	님들 qa직무는 야근 많나요?	소갤러(110.10)	23.11.13	94	0
33057	컴퓨터 잘 아시는 분 잇나요우ㅜ	소갤러(175.215)	23.10.28	96	1
33054	카카오톡이 진짜 모를까, 아니면 탐욕일까?	eu4you	23.10.19	151	1
33053	소프트웨어 공학 재밌다	소갤러(124.5)	23.10.17	119	0
33052	검색박스 끊기는 문제 도와주세요ㅠㅠ	소갤러(211.59)	23.10.15	108	0
33050	화사 컴 파일이나 문서 전송 할때	ㅇㅇ(223.39)	23.10.13	80	0
33049	유사 이미지 정리 프로그램은 있는데	소갤러(223.62)	23.10.09	82	0
33048	전화기컴 적성 안 맞으면	소갤러(114.200)	23.10.05	167	0
33047	멜론 플레이어가 강제종료돼요	소갤러(14.37)	23.10.03	95	0
33046	Prt Sc 키가 이상함	소갤러(112.161)	23.09.27	110	0
33045	윈도우 업데이트가 안되요 ㅜㅜ	소갤러(112.152)	23.09.22	170	0
33044	컴알못 노트북 켰는데	탈모고양이	23.09.17	97	0
33043	BSD는 왜 리눅스에게 밀렸냐?	두정갑(121.138)	23.09.16	93	0
33042	ms office, 한글 등 프로그램 무료로 설치 불가?	소갤러(112.148)	23.09.11	136	0
33041	도움이 필요합니다 제발	ㅇㅇ(211.243)	23.09.11	115	1
33037	혹시 이 중에 추천하는 자격증 있으신가요? [1]	소갤러(218.50)	23.08.26	190	0
33036	나 작업관리자 안쓰는거 끄다가 잘못껏는데 글자가 안보임...	소갤러(121.191)	23.08.26	105	0
33035	생짜 노베 비전공 30살 소프트웨어 시작	소갤러(211.250)	23.08.22	125	0
33034	gstatic 이거 뭐임?	소갤러(118.220)	23.08.22	146	0
33033	위치 기반 프로그램 없음? [1]	소갤러(121.172)	23.08.21	117	0
33032	윈도우11 파일탐색기 우클릭하면 튕기는 현상 아는분?	소갤러(114.202)	23.08.13	149	0