레지스트리 구성
HKEY CLASS ROOT | 파일연관성과 COM정보 |
HKEY LOCAL MACHINE | 시스템의 하드웨어/소프트웨어 정보 |
HKEY CURRENT USER | 현재 시스템 로그인 된 사용자 정보 |
HKEY USERS | 모든 사용자 정보 |
HKEY CURRENT CONFIG | 시스템 시작 시 사용되는 하드웨어정보 |
실습 - REGA 도구
Windows Registry Analysis - REGA를 이용하여 EC3 Challenge 실습
1. 실습폴더에 아래 경로에 있는 Natasha\NTUSER.DAT 파일을 복사
-> REGA 분석 시 NTUSER.DAT 파일을 선택하여 불러올 때 해당 경로에 총 6개의 파일이 존재해야 한다.
default, NTUSER.DAT, SAM, SECURITY, software, system 파일
C:\Users\karas\Desktop\Win&EnCE_10.14\forens1c_Win Forensic_Sample.vol1\Registry\Windows Registry Analysis\Users\Natasha\NTUSER.DAT
NTUSER.DAT를 C:\Users\karas\Desktop\Win&EnCE_10.14\forens1c_Win Forensic_Sample.vol1\Registry\Windows Registry Analysis 경로에 복사해야지만 분석이 가능하다.
2) 분석 시작 클릭
3) Windows Registry Analysis.hwp 파일 챌린지 문제 풀이
- C, 사용자이름 : Natasha
- A, 컴퓨터이름 : HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ComputerName
WIN-S550ED416I9
- A, 타임존 : HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\TimeZoneInformation
Eastern Standard Time
- A(carrots), B(cookies) : 검색 키워드(경로 확인 필요)
- IE Typing한 URL 주소 : REGA -> IE 열어본 페이지
A, B, C, D
- 기본 IP : 172.16.53.141
B
- dns 네임서버 IP : 172.16.53.2
2. Web Browser 분석
- 캐시, 히스토리, 쿠키, 다운로드 정보
- 사용자가 웹 브라우저를 이용하여 남기는 아티팩트 분석
- 필요성 : 인터넷 의존성, 범죄 관련 정보가 웹에 남을 가능성
1) IE
- IE도 버전에 따라 9이하, 10이상으로 나뉜다.
- cache, history, cookie, download 별로 파일별로 관리
- Exdbviewer
온라인으로 활성화가 되어 있기 때문
exdb filetype이 강력하기 떄문에 온라인으로 자동활성화가 되기 때문에, 파일 분석이 까다로우며, 현재 나온도구는 온라인 여부 상관없이 분석이 가능하다.
2) Firefox
다양한 플러그인 지원, 시장 세계 3위, 플러그인을 통해 불법으로 동영상 다운로드 가능
IE와 다르게 sqlite3 포맷을 사용하여 데이터를 저장
다만, cach, history, cookie, download 파일이 나눠져 있다?
profile.ini 값이 저장되는 경로
ftk imager 로 보면 -> cache 파일을 분석 가능
sqlite 파일을 sql 브라우저로 던지면 history, cookie 분석 가능 db browser for sqlite
3) google
시장 점유율 1위, 가장 빠른 속도와 가장 적은 cpu접유율
안정성과 효율적인 인터페이스 중점
cache, history, cookie, download, typing url, new tab(새로운 탭을 열었을 때 나오는 최근 접속 사이트 8개의 정보)
4) 웹브라우저 분석 도구,
iecacheview
iecookieview
iehistoryview
indexdat analyzer
browsinghistoryview
sqlitebrowser
esedbviewer
ie10 analyzer : 인터넷익스플로러 전체를 분석
3. ETC - Link 파일
1) 실행창 - recent
- 링크 파일을 분석함으로서 실행된 볼륨의 ID, 생성, 접근, 쓰기, 원본경로, 원본 사이즈를 알 수 있음
- 작업 표시줄 및 시작 메뉴 – 개인정보 탭
- 윈도우 키 + e -> 내컴퓨터 폴더에서 드라이브가 안보이고 최근 파일들이 열리면 옵션 활성화 여부 확인
2) 유틸리티
Lnk parsing utility
Lnkanalyser
Windows file analyzer
010editor
Lnk parser 실행 – recent 클릭 -> 최근 실행한 링크파일들을 모두 보여줌, 또는 링크 파일 지정 가능
Hex editor 로 링크파일 수동 분석 방법 확인 하기 offset 확인
4. ETC - Recycle Bin
- 윈도우에서 파일 삭제 할 경우, 기본적으로 휴지통으로 이동되기 떄문
· 기본 폴더
· 사용자별 폴더를 가지고 있음 (SID별로 생성)
Shift + delete
· 파일 삭제 시 $R~ / $I~ 파일이 생성 됨
· $R~ 파일은 실제 삭제된 데이터(삭제된 원본 파일)
· $I~ 파일은 삭제된 파일에 대한 메타 데이터
· 파일 크기, 삭제된 시간, 원본 파일 크기 정보, 원본 경로 , -à리틀엔디안이기 떄문에 거꾸로 .
· 원본 경로는 윈7, 윈10이 구조가
1) 실습
바탕화면에 아무 텍스트 파일 만들기
shift + delete(영구삭제)가 아닌 그냥 delete 키로 삭제
FTk accessdata Imager 실행
휴지통에서 파일 지우지 말것
자기 PC의 물리디스크를 마운트
root-$Recycle.Bin
- 복원을 시켜버리면 삭제를 한 시간정보가 사라지기 떄문에 주의, 의도적으로 지웠는지에 대한 여부를 확인해야 하기 때문
5. Thumbnail
-윈도우 폴더에 미리보기 기능
- 탐색기 창에서 미리보기 창 -> 미리보기가 가능한 파일은 Thumbnail에 들어간다.
-초기 방문 시 썸네일을 저장해두고 재 방문 시 저장된 데이터를 보여줌 > 속도향상
- 기본적으로 활성화
저장경로는 C:\users\username\appdata\local\microsoft\windows\Explorer 에 각종 썸네일 파일들이 있다.
thumcache 분석 (idx.db 파일만 있으면 분석이 용이, 숫자는 해상도 크기)
로마윈(local-microsoft-windows) 으로 기억할것. 썸네일 경로
5-1. icon cache
-절대 지워지지 않음?
- 외부저장장치/광학드라이브 사용흔적 확인
- 안티포렌식도구 사용흔적(아이콘) - 기업에서 안티포렌식도구를 너무 많이 사용, 감사회피 목적으로 많이 사용함
- 악성코드흔적(아이콘 보유시 / 애드웨어)
- 프로그램 사용 흔적(프로그램을 삭제 하여도 Icon 정보는 남음)
C:\users\유저네임\appdata\local\IconCache.db 로 저장
내 PC 같은 경우 administrator에 존재함
세션1 - 윈도우 기본이나 커널단에 들어가는 아이콘
세션2나 세션3
-> 프로그램 사용 흔적을 확인 가능, 레지스트리 분석으로는 중복이나 어렵기 때문에 iconcache로 분석하는 것이 수월하다.
레지스트리로 안나오는 정보들을 볼 수 있다.
유료도구는 아이콘 이미지까지 같이 출력
6. prefetch
- 실행 파일이 사용하는 시스템을 특정 파일에 미리 저장해놓은 파일
- 윈도우 부팅 시 프리패치 파일을 모두 메모리에 로드
- 미리 로드된 내용을 토대로 실행 속도 향상
- 윈도우xp 이후 운영체제에서 제공하는 기능
- 응용프로그램 이름 , 실행횟수, 마지막 실행시각 등 획득
C:\Windows%Prefetch\에 저장
부트 프리패치 :
응용프로그램 프리패치 :
- 레지스트리에서 프리패치 설정 확인
- 0 비활성화 / 1-응용s/w 사용자 / 2-부트프리패치 / 3-응용,부트프리패치 모두 증적 남김
7. Jumplist
1) jumplistview.exe 실행
-응용프로그램 사용흔적
최근 접근한 폴더 및 문서 표시
USerassist 레지스트리 키 (활성/비활성화 가능)
WIn 7 이후 추가된 기능
8. 기타 포렌식 관점 분석
lastActiveView
MFT ADS 분석을 통한 다운로드 파일 확인
/ 슈퍼타임라인
log to timeline? -> MFT에서는 못잡는 모든 메타데이터의 시간정보까지 획득
RecentFileCache
시그니처분석, 스테가노그라피로 은닉정보 분석
이메일분석
AV로그, 이벤트로그(사용자 추가/삭제, 로그인성공/실패, 원격접속 성공/실패, 윈도우 부팅/종료, 애플리케이션 설치 등 기록)
, 슬랙공간, 볼륨섀도우, 작업스케줄러, 웹애플리케이션(IIS, Apache, Tomcat)
Windows defender - win10에서는 강제로 비활성화가 안됨
안티포렌식도구들..
볼륨섀도우 - 최근에는 잘 안씀
작업스케줄러 - 악성코드 분석 시 자주 사용
웹 서버 - 다방면으로 단에서 용도 및 종합적으로 확인
9. Win8
- 메모리구조 변화 : pagefile.sys 외에 swapfile.sys (최근 사용 앱정보, 사용자 계정정보 추출 가능)
- 레지스트리 추가 : TypeURLsTime 레지스트리(URL 입력 시간), 3개의 하이브 파일(BBI, DRIVERS, ELAM)
- 메트로 아티팩트(앱) : 시작화면 앱정보
- 파일 히스토리 기능 : 라이브러리,,
- PC 복구와 초기화 : 포맷없이 가능
10. Win10
- 기본 프로세스의 변화 : MS Edge 브라우저 관련 프로세스와 Onedrive 추가
- 부트 볼륨 크기의 변화 : 기존 100MB -> 500mb
- Recycle.bin 구조 변경
$I : 삭제 정보 -> 일부 구조 변경, 파일명에 따라 가변적인 크기를 가짐(이전에는 544Byte 고정)
- 윈도우 앱 스토어
- 윈도우 디펜더
- 이메일 아티팩트,
contana
- MS Edge -- WebCacheV01.dat -> IE10analyzer 자동 Path 잡아줌
11. 쉘백
16. ETC
설치된 응용프로그램 분석
C:\program files\TeamViewer
userid\appdata\roaming/teamviewer
pagefile.sys -> string 추출 및 분석
작업스케줄러 (예약작업)
토렌트 파일을 다 받고 나면 재전송을 위해 seed가 생성-> seed를 통해 어떤 파일을 받았는지 확인 가능
- 아웃룩 : e-discovery 법적증거 제출 시 아웃룩 분석을 많이 사용
17. Windows 10
- MS Edge 브라우저 관련 프로세스와 OneDrive 추가
- 부트볼륨크기의 변화 : 기존 100MB >> 500MB
- -Recycle.Bin 구조 변경 : $I의 사이즈가 가변적으로 변함(기존 544Byte)
- 윈도우 앱 스토어 추가
- 윈도우 디펜더
- Cortana 기능 추가 (음성 개인비서 -> Cortana가 한국어 인식을 못하며, 외국에서는 엄청 많이 사용한다고 함, 위치 기록, 연락처, 음성 입력, 검색 기록, 일정 정보, 메세지 및 앱의 콘텐츠 및 통신 기록, 장치의 기타 정보)
- E-mail 아티팩트 추가 : appdata/local/comms/UnistoreDB/store.vol (이메일 헤더, 주소록, 연락처, 첨부파일 정보 등), 스트링스 도구를 이용하여 기본 정보 추출, edb타입의 DB형태로 복구 후 EDB 도구 이용 분석 가능
- 윈도우 복구/초기화
- Edge 로그 경로 - 경로는 인터넷으로 찾아보기 : 브라우저 설정, 캐시파일, 쿠키 저장
- 윈도우 8과의 차이점은 시작화면이 사라짐(앱과 관련된 내용), 앱 실행 파일, 앱 패키지 목록, 시작화면 고정 목록, 앱 인터넷 사용흔적, 앱 저장소
18. 증거능력
- 증거력
-진정성, 무결성, 원본성, 신뢰성
- 디지털포렌식 증거력
- 정당성, 재현, 신속성, 절차 연속성, 무결성
총 9가지 성질을 만족해야 법원에서 기각을 안당하여 증거로 채택이 가능
<증거관련 용어>
- 위법수집증거 배제원칙
- 독수독과 이론
- 전문증거
- 전문법칙
- 자유심증주의
- 법정증거주의
- 무죄추정원칙
*증거 효력
$MFT
도구
->
analyzeMFT 한글
NTFS Log Tracker -> 많이 사용함
등등 PDF 파일 참고
$LogFile 파일이 분석이 빠름
링크파일을 통해 유출된 자료를 분석, 실행됬었던 경로, 파일 사이즈 등의 정보가 남음
'DFIR > 디지털포렌식 기초' 카테고리의 다른 글
안티포렌식 - USB 메모리 사용 흔적 삭제하기 (0) | 2021.03.02 |
---|---|
[Forensic] 디스크포렌식 기초 (0) | 2021.01.27 |
[Forensic] Encase 를 이용한 디지털포렌식 분석 (0) | 2021.01.21 |
[Forensic] WinHex 사용법 (0) | 2021.01.21 |
[Forensic] Autopsy 포렌식 도구 사용법 정리 (0) | 2021.01.15 |