수사기관이 　 PC 안을 들여다 본다면．

소프트웨어 갤러리

1/3

중국에서 까이고있는 지코...jpg 지코가 2010년경 쓴 if i ain't got 짱깨 라는 곡에 중국인 까는게 있어서 짱깨들이 극대노중이라고함 작성자 : 설윤아기

수사기관이 　 PC 안을 들여다 본다면．　　

때릴꺼야?(119.67) 2015.03.16 22:43:27

조회 972 추천 0 댓글 0

윈도우 레지스트리로부터 PC 사용자의 정보를 추출하기．

http://blog.naver.com/jb8917/120178594220

Registry

윈도우 운영체제에서 운영체제와 응용프로그램 운영에 필요한 정보를 저장하기 위해 고안한 계층형 데이터베이스

시스템 환경 설정 값과 어플리케이션 정보를 보관

모든 시스템/어플리케이션의 작동 기록과 활동 기록을 남기는 방대한 로그로서의 역할도 수행

HKEY_CLASSES_ROOT(HKCR)

시스템에 등록된 파일확장자와 그것을 열 때 사용할 어플리케이션에 대한매핑 정보 저장

HKEY_CURRENT_USER(HKCU)

현재 로그온하고 있는 모든 사용자와 그룹에 대한 정보 저장

패스워드 정보도 포함되어 있으나 관리자도 접근 불가

HKEY_USERS(HKU)

유저들의 SID에 대한 정보 저장

HKCU는 HKEY_USERS의 항목 중 현재 로그 온한 사용자의 SID 항목에 대한 단축경로임

.DEFAULT 항목은 유저들의 공통된 사항(내용)이 들어 있는 키임

HKEY_LOCAL_MACHINE(HKLM)

시스템 전체에 해당하는 환경 설정 정보를 저장

HKLM\HARDWARE

- 부팅 시 수집된 하드웨어 정보가 저장

- Memory에만 저장되며 하드디스크에 저장되지 않으므로 라이브 포렌식에서직접 분석해야 함 HKLM\SAM

- 사용자 패스워드, 소속그룹, 도메인 정보와 같은 로컬 계정 정보와 그룹정보 저장

- 관리자 계정이라도 접근이 불가능하며 오직 시스템 계정만 접근 가능

HKLM\SECURITY

- 시스템 보안 정책과 사용자 권리 할당 정보를 저장하고 있으며,

SAM 항목과마찬가지로 시스템계정만 접근 가능

HKLM\SOFTWARE

- 설치되어 있는 소프트웨어에 대한 정보 저장

HKLM\SYSTEM

- 운영체제에 관련된 정보 저장항목은 바로 위 항목에 위치한

- HKLM\SYSTEM\CurrentControlSet항 ControlSet001 or ControlSet002 목에 대한 바로가기 내용임

: 일반적으로 ControlSet001 항목이 가장 최근 부팅에서 사용된 키 값이고,ControlSet002 항목이 마지막으로

성공한 구성에 대한 키 값일 경우가 많음

- HKLM\SYSTEM\CurrentControlset\Services: 윈도우에 설치된 서비스 정보 출력

HKEY_CURRENT_CONFIG(HKCC)

부팅 시 사용하는 하드웨어 프로파일 정보 저장

HKLM\SYSTEM\Hardware Profiles\Current에 대한 바로가기 항목임

윈도우는 타 OS와 다르게 레지스트리에 의존도가 높은편이다.
때문에 어플리케이션, 계정, 보안, 하드웨어(USB 등) 정보 거의 대부분을 레지스트리에 기록을 남기게 된다.
디지털 포렌식에서는 이를 이용해서 상당히 유용한 정보를 수집할 수 있다.

레지스트리 5대 트리를 간략히 정리 (실행창에 regedit 을 입력하면 레지스트리들을 트리구조로 볼 수 있다)
HKEY_CLASSES_ROOT : 파일 확장자에 대한 정보. 파일과 프로그램 연결에 대한 정보. 마우스 우클릭정보 등

HKEY_CURRENT_USER : 현재 로그인중인 사용자들에대한 정보, 응용프로그램 관련 정보, 보안접근 허용관련 접근 등 설치된 윈도우 환경설정정보들 포함

HKEY_LOCAL_MACHINE : 하드웨어 구성 초기화 파일, 제어판과 밀접한 파일, 드라이버 정보 등

HKEY_USERS : 이전 사용자 초기화 파일 보관, 두 키 사이가 겹치면 HKEY_CURRENT_USER가 우선시됨

HKEY-CURRENT_CONFIG : 윈도우의 디스플레이 정보와 프린터 관련 정보

:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU
최근 열리거나 저장된 파일목록 들어있다.(MRU : most recently used)

:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
사용자가 접근한(실행한) 프로그램

:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00x\Enum\USBSTOR
usb 장치 정보

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
의 AppInit_DLLs. 어플리케이션 실행시 로딩되는 dll (dll injection을 이용한 악성코드는 이곳을 이용하기도 한다)

1371C9244C602CBE304B90

setupapi에 대한 MSDN의 설명

137665314C602D4B03CB73

Setupapi.log의 세부적인 로그 메시지

207461204C602B7DAB6D15

레지스트리에서 USB의 정보를 역으로 추출하는 프로그램

※ 포렌식이란

- 범죄현장에 대해서 객관적인 자료 수집과 수집한 자료를 통해서 사건의 증거자료나 원인 등을 분석 후 사법기관에 제출 할 수 있는 보고서와 제출용 자료를 만드는 방법

-> 전자기기들을 하나의 증거물에서 범죄현장 그 자체로 인식하는 것을 디지탈 포렌식이라 한다.

- 디지털 형태로 정보를 저장하는 모든 기기를 대상으로 조사하는 것을 디지털 포렌식 , 컴퓨터 포렌식의 대상은 오직 컴퓨터에 한정되며, 사이버 포렌식은 컴퓨터 포렌식과 거의 유사하지만 컴퓨터와 네트워크의 결합을 말한다.

-> 디지털 포렌식 ⊃ 컴퓨터 포렌식 ⊇ 사이버 포렌식

- 컴퓨터 포렌식은 OS , 네트워크 , 서버 , e-Discovery 에 따라서 여러 종류로 나눠진다.

※ 라이브 리스폰스

- 휘발성 정보(Volatile Data)를 수집 및 분석하는 방법 ( 비휘발성 정보도 물론 수집한다 )

- 컴퓨터가 꺼져있는 상태라면 라이브 리스폰스 작업을 할 수가 없다. ( 꺼져있는 컴퓨터를 다시 켜서 작업을 실행하는 것은 범죄현장의 증거물을 변화시키지 않는 기본 원칙에 위반된다. )

*휘발성 정보 : 시스템 시간, 네트워크 연결정보, 로그온 사용자정보 등등 컴퓨터가 꺼지거나 로그오프되면 사라지는 정보를 말한

중요성

① 휘발성 정보에서만 얻을 수 있는 Data가 존재한다.

② 시스템의 대략적인 상태를 파악하여 조사 방향을 잡는데 밑거름을 제공한다.

③ 서버컴퓨터와 같이 작동을 정지하면 안되는 컴퓨터를 조사할 때 유용하다 ( 금전적 손실 방지 )

@라이브 리스폰스는 항상 해야 좋지만 수행해서 안되는 경우가 있다.

① 비휘발성 저장장치에서 증거의 수정 및 삭제가 일어나는 경우( 디스크포맷 , 안전삭제 등 )

범죄자가 침입한 상태라면 제한적인 휘발성 정보( 네트워크 연결 정보 , 메모리 덤프를 우선적으로 수집 )

을 빨리 수집한 후 플러그를 OFF시킨다.

-> 플러그 OFF란 전원 플러그를 뽑는다. 하지만 서버용 OS나 서버 어플리케이션이 설치된 컴퓨터는 정상종료

( 데이터의 손실이 심각할 수 있으므로. DB는 큰 문제가 된다. )

② 사용하려는 도구들이 조사하고자 하는 윈도우 버전에서 충분한 검토가 이루어지지 않은 경우.

컴퓨터에 어떠한 영향을 주고 그것이 증거의 무결성이 훼손될 가능성이 있으므로.

원칙

- 원본에 미치는 영향을 최소화 한다. ( 로카르드 교환 법칙 )

▶메모리 : 데이터의 수정삭제 ① 프로세스의 실행으로 인한 이전 data의 손실

② 커널 오브젝트를 관리하는 시스템 테이블 갱신

▶네트워크 : 네트워크 기능이 있다면 로그파일의 생성으로 인한 이전 로그 삭제와

커널 오브젝트에 의해 관리되므로 커널 테이블이 갱신된다.

▶프리패치 : 윈도우는 프로그램 실행시 prefetch라는 파일이 생선된다 -> 프리패치파일의 삭제가 일어난다.

▶레지스트리 : 레지스트리 접근 - 하이브 파일의 접근 시간 갱신

레지스트리 쓰기작업 : 레지스트리 키의 마지막 쓰기 시간 변경

▶DLL(Dynamic Link Library) : 정적 링킹(static linking)으로 컴파일 되지 않는

프로그램은 외부함수를 이용하려면 DLL이 필요

- > 접근시 접근 시간 갱신

*DLL은 크게 상관 없지만 해커나 악성프로그램에 의해 교체됐다면 문제발생

▶로그파일 : 도구의 에러, 이벤트 로그 등으로 기록을 남김 -> 기록의 삭제,수정

포렌식 개론 - 1                    http://boanin.tistory.com/48
포렌식 개론 -2                    http://boanin.tistory.com/62
포렌식 - 파일시스템 http://boanin.tistory.com/78
포렌식 - 윈도우포렌식1   http://boanin.tistory.com/85

고정닉 0

원본 첨부파일 1

이 이상 좋게 줄 수 없다.jpg

전체 댓글 0개

등록순

본문 보기

타인의 권리를 침해하거나 명예를 훼손하는 댓글은 운영원칙 및 관련 법률에 제재를 받을 수 있습니다.
Shift+Enter 키를 동시에 누르면 줄바꿈이 됩니다.

갤러리 리스트
번호	제목	글쓴이	작성일	조회	추천
설문	어떤 상황이 닥쳐도 지갑 절대 안 열 것 같은 스타는?	운영자	24/05/20	-	-
30686	형님들 식사는 하셨는지요 ? C 배열하나만 엽쭛겠습니다. [2]	배열고수(211.215)	15.05.19	232	1
30684	형님들 도와주세요ㅠ	ㅠㅠ(112.154)	15.05.18	146	0
30682	컴맹이라 그런데 요거 해결법좀,,,	ㅇㅇ(121.159)	15.05.18	131	0
30676	E 드라이브 포멧이 안되는 이유좀 알려줘	dd(222.118)	15.05.15	165	0
30671	윈7깔았는데 시작버튼이랑 로고가 이상함 ㅠㅠ 아는분? [2]	도와주세요(222.233)	15.05.14	282	0
30660	카페같은데서 유투브가 안뜸ㅠㅠ 짤조공 [1]	ㅇㅇ(114.53)	15.05.09	308	0
30657	무조건 먹는 게임하세요 [1]	dd(118.244)	15.05.06	293	0
30656	윈도우8 업데이트로 잠시만 기다려주세요 나오는거	ㅇ(223.62)	15.05.05	1894	0
30642	형들 게임하다가 갑자기 컴퓨터가 꺼지는데 알려주시면안되요 ? ㅠㅠ	미카로시(1.227)	15.05.05	173	0
30632	재부팅하면 설정해놓은 상태로 돌아가는 프로그램 뭐 있나요?	ㅇㅇ(180.68)	15.05.03	185	0
30630	pak로 압축하는 방법 아는 사람??	ㅇㅇ(182.222)	15.05.01	274	0
30614	PROX 　　우회 접속	때릴꺼야?(119.67)	15.04.30	1173	0
30613	차원히 다른 배당.이벤트.안전.출입금신속	ㅋㅋㅋㅋ(183.207)	15.04.30	155	0
30612	vm웨어 깔려고하는데	ㄻㅇㄴ(114.207)	15.04.29	168	0
30607	형들 avira 인터넷 시큐리티 2014랑 안티바이러스 프로랑 같은거임?	ㅇㅇ(121.178)	15.04.28	243	0
30602	형님들 질문좀 할께 급해	11(125.134)	15.04.27	121	0
30596	msvcp100.dll 오류 형님들 도와주십쇼	형님형님형님(14.44)	15.04.26	299	0
30568	롤리팝올린사람중에 플레쉬 올리는법 아는사람 있으신가요?	빠미뚜(220.77)	15.04.22	150	0
30523	형님들 이거 지웠다 다시 깔아도 이러던데	계사년	15.04.19	170	0
30513	시작버튼 옆 빠른실행 에 있는 버그	때릴꺼야?(119.67)	15.04.17	1056	0
30512	횽들 이거 키 아는사람 있어?	dhdltmznf	15.04.17	209	0
30509	횽들 이거 아는 사람 있어?	dhdltmznf	15.04.16	148	0
30507	형들 iso 파일좀 구할수 있을까요 ㅜㅜㅜㅜ	ㅇㅇ(1.245)	15.04.16	156	0
30495	폰에서컴터로 영상 15기가 정도를 옮기기했는데 이미 요청한 리소스를 실	ㅁㅂ(220.81)	15.04.11	182	0
30494	마이크로오피스 개인사용자가 무료로쓰는법은 정녕없는가 [1]	ㅇㅇ(223.62)	15.04.11	210	0
30485	스마트폰 고장 도와주세요 ㅠㅠ	119(175.207)	15.04.08	184	0
30483	윈7 64bit oem	ㅇㅇ(121.166)	15.04.08	222	0
30482	윈도우 7에서 폴더 크기 정렬 하는 방법 없어???	ㅂㅂㅂㅂ(218.55)	15.04.06	224	0
30476	７ 외관 ，　영문판문제	때릴꺼야?(119.67)	15.04.02	236	0
30475	형들 taskhost 임마 뭐하는 놈임?	산다니까	15.04.01	1128	0
30471	pak로 압축하는 거 아는 사람 도움좀	ㅇㅇ(182.222)	15.03.31	251	0
30470	고갤러인데 방금 여길 처음 알고 감동먹음ㅋ	ㅁㄴㅇ(218.148)	15.03.31	161	0
30466	윈8 오류 설명좀요 ㅠㅜ	oo	15.03.29	223	0
30464	task host window (윈도우8.1) 어떻게 해야 되나요	host(211.177)	15.03.28	579	0
30462	실수로 format 했는데 복구할 방법 있을까요?	1.44MB	15.03.25	258	0
30461	winthruster이거써두댐? [1]	끅(163.152)	15.03.24	9311	0
30459	어플제작 잘아시는분..	자바(61.83)	15.03.22	200	0
30457	브라우저 익스, 파폭, 크롬 3개써도 됨??	ㅇㅇ(124.28)	15.03.17	273	0
	수사기관이 　 PC 안을 들여다 본다면．	때릴꺼야?(119.67)	15.03.16	972	0
30454	시벌 중고 노트북 샀다가 고생한다	지지지(183.109)	15.03.16	211	0
30453	내가 좆컴맹인데 운영체제 날아가서 수리기사한테 OS만 재설치 부탁했더니 [1]	ㅇㅇ(180.230)	15.03.12	335	0
30452	[무료취업교육정보안내] 자바프로그래밍 신입개발자양성 취업연계교육과정	수퍼팡	15.03.09	252	0
30451	형들 system event notification service 이거	ㅇㅇ(58.236)	15.03.06	250	0
30450	Aca 포토샵 따려면 기간 얼마 잡아야 함?	믹밀	15.03.06	281	0
30449	MS 오피스 살 돈 없으면 리브레오피스 쓰면 되지!!!	ㅋㅋㅋㅋ(220.85)	15.03.03	435	0
30447	원격접속프로그램중	때릴꺼야?(119.67)	15.02.26	450	0
30445	저장용 [1]	크리티컬히트	15.02.25	285	0
30443	해당작업은 현재설치된 제품에만 유효합니다 해결부탁ㅜㅜ	ㅇㅇ(223.62)	15.02.25	5962	0
30442	레지스트리관리 프로그램 추천좀	ㅇㅇ(90.56)	15.02.23	189	0
30441	틱톡 phonenumber 암호화 sq로 뜷는 능력자 잇냐	능력자디텍터(182.221)	15.02.20	968	0