ํด๋น ๊ฐ์๋ฅผ ์๊ฐํ๋ฉฐ ์ ๋ฆฌํ ๋ด์ฉ์ ๋๋ค.
[๋ฌด๋ฃ] ๊ธฐ์ด๋ถํฐ ๋ฐ๋ผํ๋ ๋์งํธํฌ๋ ์ - ์ธํ๋ฐ | ๊ฐ์
๊ธฐ์ด๋ถํฐ ๋ฐ๋ผํ๋ ๋์งํธํฌ๋ ์ ๊ฐ์์ ๋๋ค. ๊ฐ์๋ฅผ ๋ฐ๋ผํ๋ค๋ณด๋ฉด "๋ฌผ ํ๋ฅด๋ฏ, ์์ฐ์ค๋ฝ๊ฒ" ์ค๋ ฅ์ด ๋์ด๊ฐ๋ ๊ฐ์๋ฅผ ์ถ๊ตฌํฉ๋๋ค., ์ด๋ณด์ ๋๋์ด์ ๋ฑ ๋ง์ถ, ์๋ฆฌ๋ฅผ ์ดํดํ๋ ๋์งํธํฌ๋ ์ ์
www.inflearn.com
1. ์๋์ฐ ์ํฐํฉํธ (Windows Artifacts)
- Windows๊ฐ ๊ฐ์ง๊ณ ์๋ ํน์ ์ ๊ธฐ๋ฅ๋ค๊ณผ ๊ทธ ๊ธฐ๋ฅ์ ๊ตฌํํ๋๋ฐ ํ์ํ ์์
- Windows์ ์ฌ์ฉ์๊ฐ ์ํํ๋ ํ๋์ ๋ํ ์ ๋ณด๋ฅผ ๋ณด์ ํ๊ณ ์๋ ๊ฐ์ฒด
์ปดํจํฐ์์ ์ํฐํฉํธ๋ ์ฌ์ฉ์๊ฐ ์ด๋ค ํ๋์ํ์ ๋ ์๋์ผ๋ก ์์ฑ์ด ๋๋ ํน์ ํฌ๋งท์ "ํ์ " ์ด๋ผ๊ณ ์๊ฐ ํ๋ฉด ๋จ
์ฃผ๋ก ์ํฐํฉํธ์๋ ์์ฑ์ฆ๊ฑฐ์ ๋ณด๊ด์ฆ๊ฑฐ๋ก ๋๋จ
- ์์ฑ ์ฆ๊ฑฐ: ํ๋ก์ธ์ค, ์์คํ ์์ ์๋์ผ๋ก ์์ฑํ ๋ฐ์ดํฐ <- ์๋์ฐ ์ํฐํฉํธ๋ ์์ฑ ์ฆ๊ฑฐ์ ํด๋น
- ๋ณด๊ด ์ฆ๊ฑฐ: ์ฌ๋์ด ์์ฑ ๋ฐ ๊ธฐ๋กํ์ฌ ์์ฑํ ๋ฐ์ดํฐ
- ๋ํ์ ์ธ ์๋์ฐ ์ํฐํฉํธ
: ๋ ์ง์คํธ๋ฆฌ, $MFT, $Logfile, $UsnJrnl, LNK, JumpList, Recycle Bin(ํด์งํต), Prefetch & Cache(s), Timeline, VSS, ์น๋ธ๋ผ์ฐ์ ์ํฐํฉํธ, EventLogs
์๋์ฐ ์ํฐํฉํธ๋ฅผ ๊ณต๋ถํ ๋ ์ค์ํ ์
- ์ฌ์ฉ์์ ํ์์ ๋ฐ๋ผ ์ด๋์ ์ด๋ค ์ ๋ณด๊ฐ ์ ์ฅ๋ ๊น?
- ์ปดํจํฐ๋ ๋์ฒด ์ด๋ป๊ฒ ์๋ํ๋๊ฑธ๊น?
์ฆ, ์ฌ์ฉ์๋ ์ปดํจํฐ๋ก ๋ฌด์จ ์ผ์ ํ์๊น?
2. ๋ ์ง์คํธ๋ฆฌ
: Windows ์ด์์ฒด์ ์ ์์ฉ ํ๋ก๊ทธ๋จ ์ด์์ ํ์ํ ์ ๋ณด๋ฅผ ๋ด๊ณ ์๋ "๊ณ์ธตํ ๋ฐ์ดํฐ๋ฒ ์ด์ค" ์ด๋ค.
- ์ด์์ฒด์ ๋ฐ ์์ฉ ํ๋ก๊ทธ๋จ์ ์ค์ ์ ๋ณด, ์๋น์ค์ ์ค์ ๋ฐ์ดํฐ ๋ฑ ๊ธฐ๋ก
- ๋ถํ ๊ณผ์ ๋ถํฐ ๋ก๊ทธ์ธ, ์๋น์ค ์คํ, ์์ฉ ํ๋ก๊ทธ๋จ ์คํ, ์ฌ์ฉ์์ ํ์ ๋ฑ ๋ชจ๋ ํ๋์ ๊ด์ฌ
์๋์ฐ ์์คํ ์ ๋ฐ์ ๋ชจ๋ ์ ๋ณด๊ฐ ๋ด๊ฒจ ์์ -> ์ฆ, ์๋์ฐ ์์คํ ๋ถ์์ ํ์ ์์
- ๋ ์ง์คํธ๋ฆฌ์ ๋ด๊ฒจ ์๋ ์ ๋ณด
: ์์คํ ํ์ค ์๊ฐ (TimeZone), ์์คํ ์ ๋ณด (Systeminfo), ์ฌ์ฉ์ ๊ณ์ ์ ๋ณด, ํ๊ฒฝ ๋ณ์ ์ ๋ณด, ์๋ ์คํ ํ๋ก๊ทธ๋จ,์์ฉ ํ๋ก๊ทธ๋จ ์คํ ํ์ (UserAssist, OpenSavePidlMRU, LastVisitedPidlMRU), USB ์ฐ๊ฒฐ ํ์ , ์ ๊ทผํ ํด๋ ์ ๋ณด (Shellbag) ๋ฑ
๋ ์ง์คํธ๋ฆฌ ์กฐํ (Windows + R ์ ๋๋ฅธ ํ regedit)
๋ ์ง์คํธ๋ฆฌ๋ฅผ ๋ณด๊ธฐ ์ํด์๋ Windows ํค์ Rํค๋ฅผ ๋์์ ๋๋ฌ, regedit์ ์ ๋ ฅํ๋ฉด ๋๋ค
- ๋ ์ง์คํธ๋ฆฌ ๊ตฌ์กฐ
๋ ์ง์คํธ๋ฆฌ๋ Root Key์ Key๊ฐ ์๊ณ , Key์์ ๋ฐ์ดํฐ๋ฅผ ์ดํด๋ณด๋ฉด Value(์ด๋ฆ), Type(์ข ๋ฅ), Data(๋ฐ์ดํฐ)๊ฐ ์๋ค
์ฌ๋ฌ ๊ฐ์ Key๋ก ๊ตฌ์ฑ๋์ด ์์ผ๋ฉฐ Key๋ Key์ Sub Key๋ก ๊ณ์ธตํ ๊ตฌ์กฐ๋ฅผ ์ด๋ฃฌ๋ค.
(Key์ Sub Key๋ ์๋์ ์ธ ๊ฐ๋ )
(1) Root Key
์ต์๋จ์ 5๊ฐ ํค๋ฅผ root key๋ผ๊ณ ๋ถ๋ฅธ๋ค.
| HKEY_CLASSES_ROOT(HKCR) | ํ์ผ ํ์ฅ์ ์ฐ๊ฒฐ ์ ๋ณด, COM ๊ฐ์ฒด ๋ฑ๋ก ์ ๋ณด |
| HKEY_CURRENT_USER(HKCU) | ํ์ฌ ์์คํ ์ ๋ก๊ทธ์ธ๋ ์ฌ์ฉ์์ ํ๋กํ์ผ ์ ๋ณด |
| HKEY_LOCAL_MACHINE(HKLM) | ์์คํ ์ ํ๋์จ์ด, ์ํํธ์จ์ด ์ค์ ๋ฐ ๊ธฐํ ํ๊ฒฝ ์ ๋ณด |
| HKEY_USERS(HKU) | ์์คํ ์ ๋ชจ๋ ์ฌ์ฉ์์ ๊ทธ๋ฃน์ ๊ดํ ํ๋กํ์ผ ์ ๋ณด |
| HKEY_CURRENT_CONFIG(HKCC) | ์์คํ ์ด ์์ํ ๋ ์ฌ์ฉ๋๋ ํ๋์จ์ด ํ๋กํ์ผ ์ ๋ณด |
(2) Registry - Timezone
๊ฒฝ๋ก: HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation
ํด๋น ๊ฒฝ๋ก๋ก ๊ฐ๋ฉด, Bias๋ฅผ ํตํด ํ์ฌ ์ปดํจํฐ์ Timezone์ ์ ์ ์๋ค.
Timezone์ ํ์ฌ ์ปดํจํฐ๊ฐ UTC + 9์ ์ค์ ๋์ด ์์์ ์๋ ค์ฃผ๋ ๊ฐ์ด๋ค. (ํ๊ตญ์๊ฐ UTC+9, ๋ฏธ๊ตญ์ด UTC+0์ด๋ผ๊ณ ํ๋ค.)
(3) Registry - Systeminfo
File Path : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
ํด๋น ๊ฒฝ๋ก๋ก ๊ฐ๋ฉด, ํ์ฌ ์๋์ฐ ๋ฒ์ , ์ค์น ์๊ฐ, ProductID ๋ฑ ์์คํ ๊ณผ ๊ด๋ จ๋ ์ ๋ณด๋ค์ ์ป์ ์ ์๋ค.
ํ์์์ systeminfo๋ฅผ ์ ๋ ฅํ์ ๋ ๋์ค๋ ๊ฐ์ด๋ค.
์ค์ต์ ํตํด InstallTime ๊ฐ์ ํ์ธํด๋ณด๋๋ก ํ๋ค.
์ค์ต์ ํ์ํ Dcode๋ฅผ ์ค์นํ๋ค.
https://www.digital-detective.net/dcode/
DCode™ – Timestamp Decoder - Digital Detective
DCode™ is a FREE forensic tool for decoding data found during digital forensic examinations into human-readable timestamps.
www.digital-detective.net
- installTime ๊ฐ ๋ณต์ฌ
- Dcode
- sysinfo ๊ฒฐ๊ณผ๋ก ๋์จ ๊ฐ๊ณผ ์ผ์นํ๋ค๋ ๊ฒ์ ์ค์ต์ ํตํด ๋ค์ ํ ๋ฒ ํ์ธํ ์ ์๋ค.
๋ค์์ผ๋ก๋ sytemDate๊ฐ์ ํ์ธํด๋ณด๋๋ก ํ๋ค.
- systemDate ๊ฐ ๋ณต์ฌ: 1687868723
- unix timestamp๋ฅผ ํ์ฌ ์๊ฐ์ผ๋ก ๋ณ๊ฒฝ์์ผ์ฃผ๋ ์ฌ์ดํธ
https://www.epochconverter.com/
Epoch Converter
Convert Unix Timestamps (and many other date formats) to regular dates.
www.epochconverter.com
๊ฒฐ๊ณผ๊ฐ์ด ๋ชจ๋ ๋์ผํ๋ค๋ ๊ฒ์ ์ ์ ์๋ค.
(4) Registry - Autoruns
File Path
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Autoruns๋ ์ปดํจํฐ๋ฅผ ์คํ ํ์ ๋, ๋ฐ๋ก ๊ฐ์ด ์คํ๋๋ ์์ ํ๋ก๊ทธ๋จ์ ๋งํ๋ค. (์๋ ์คํ ํ๋ก๊ทธ๋จ)
- Run: ๋ ์ง์คํธ๋ฆฌ์ ๊ณ์ ๋จ์์ ์ปดํจํฐ๊ฐ ์คํ๋ ๋๋ง๋ค ์คํ
- RunOnce: ํ ๋ฒ ์คํ๋ ๋ค์, ๋ ์ง์คํธ๋ฆฌ๊ฐ ์ญ์ ๋จ
- RunOnceEx: RunOnce์ ๊ธฐ๋ฅ์ ๊ฐ์ง๋ง ์ญ์ ํ์ด๋ฐ์ด ๋ค๋ฆ
์์ ํ๋ก๊ทธ๋จ์ ์ค์ > ์์ ํ๋ก๊ทธ๋จ์์๋ ํ์ธํ ์ ์๋ค.
(5) Registry - User Account
File Path : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\
User Account๋ ์ฌ์ฉ์์ ๊ณ์ ๋ฐ ๊ถํ์ ์ ์ ์์ผ๋ฉฐ, ์ฌ์ฉ์์ ์ต์ข ๋ก๊ทธ์ธ ์๊ฐ๊น์ง ์ ์ ์๋ค.
- S - 1 - 5 - 18 : SystemProfile
- S - 1 - 5 - 19 : LocalService
- S - 1 - 5 - 20 : NetworkService
- S - 1 - 5 - 21 : ์ฌ์ฉ์๊ฐ ๋ง๋ ๊ณ์
- 1000 ์ด์์ user ๊ถํ์ ์๋ฏธ
- 500์ administrator(๊ด๋ฆฌ์ ๊ถํ)๋ฅผ ์๋ฏธ
์ ์ฑ์ฝ๋ ์ค ๊ณ์ ์ ํ๋ ๋ ๋ง๋ค์ด ๊ด๋ฆฌ์ ๊ถํ์ ์ป์ด ์ ์์ ํ์๋ฅผ ํ๋ ๊ฒฝ์ฐ๊ฐ ์๊ธฐ ๋๋ฌธ์ ์์ธํ ๋ด์ผ ํจ
S-1-5-21์์ LocalProfileLoadTimeHigh์ ๋ฐ์ดํฐ์ LocalProfileLoadTimeLow์ ๋ฐ์ดํฐ๋ฅผ ์์๋๋ก (high-low) ์ด์ด๋ถ์ธ ๊ฐ์ DeCode๋ก ํ์ธํ๋ฉด ์ฌ์ฉ์์ ์ต์ข ๋ก๊ทธ์ธ ์๊ฐ์ ๊ตฌํ ์ ์๋ค.
0x1da0bf3 + 0xac1d5f79 = 0x1da0bf3ac1d5f79
(6) Registry - Environment Variables
File Path
- ์ฌ์ฉ์ ํ๊ฒฝ ๋ณ์: HKU\{SID}\Environment
- ์์คํ ํ๊ฒฝ ๋ณ์: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment
SID๋ User Account์์ ํ์ธํ๋ ID๋ฅผ ์๋ฏธํ๋ค.
HKEY_USERS\S-1-5-21...1001\Environment์ผ๋ก ๋ค์ด๊ฐ๋ฉด ์ฌ์ฉ์ ํ๊ฒฝ ๋ณ์๋ฅผ ํ์ธํ ์ ์๋ค
์ผ๋ฐ์ ์ผ๋ก ์์คํ ํ๊ฒฝ ๋ณ์์ ๊ฐ์ ๋ง์ด ์ ๋ ฅํ๊ธฐ์ ์์คํ ํ๊ฒฝ ๋ณ์์ ์ ๋ณด๊ฐ ๋ ๋ง์ด ์กด์ฌํ๋ค.
+) ์๊ฐ ์ฌ์ฉ์ ๊ณ์ ์ ๋ํ ํ๊ฒฝ๋ณ์, ๋ฐ์ด ์์คํ ๋ณ์ ์ค์
(6) Registry - Executable
- Executable์ ์์ฉํ๋ก๊ทธ๋จ ์คํ์ ๋ฐ๋ฅธ ํ์ ์ ๋ณผ ์ ์๋ ๋ ์ง์คํธ๋ฆฌ ๊ฒฝ๋ก์ ๋๋ค.
- UserAssist : ์ต๊ทผ์ ์คํํ ํ๋ก๊ทธ๋จ ๋ชฉ๋ก, ๋ง์ง๋ง ์คํ ์๊ฐ, ์คํ ํ์
- OpenSavePidIMRU : ์ด๊ธฐ ํน์ ์ ์ฅ ๊ธฐ๋ฅ์ผ๋ก ์ฌ์ฉ๋ ํ์ผ
- LastVisitedPidIMRU : ์ด๊ธฐ ํน์ ์ ์ฅ ๊ธฐ๋ฅ์ ์ฌ์ฉํ ์์ฉ ํ๋ก๊ทธ๋จ
- UserAssist
File Path: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
UserAsist์๋์ ์๋ ๋ณต์กํ ๊ฐ๋ค์ CLS ID๋ผ๊ณ ํ๋ค.
CLS ID๋ ์๋์ฐ ์์คํ ์์ ์์ฝ๋ ๊ฐ์ผ๋ก, ์์๋ก ์ง์ ๋๋ ๊ฐ์ด ์๋๋ผ ๋ชจ๋ ์๋ฏธ๋ฅผ ๊ฐ์ง๋ค.
- {CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}์์๋ ์คํ ํ์ผ ์คํ ๊ธฐ๋ก์ ํ์ธํ ์ ์๋ค.
- {F4E57C4B-2036-45F0-A9AB-443BCFE33D9F}์์๋ ๋ฐ๋ก ๊ฐ๊ธฐ ์คํ ๊ธฐ๋ก์ ํ์ธํ ์ ์๋ค.
์ฌ๊ธฐ์ ์๋ ๊ฐ๋ค์ ์ ๋ถ ์ธ์ฝ๋ฉ์ด ๋์ด ์์ด ์ฝ๊ธฐ ์ด๋ ต๋ค.
https://rot13.com/ ์์ ๋์ฝ๋ฉ์ ์งํํด์ค๋ค.
(์๋ถ๋ถ์ CLS ID์ด๋ฏ๋ก ๋์ฝ๋ฉX.. ์ค์๋ก ๊ฐ์ด ๋ณต์ฌํ๋ค)
- OpenSavePidIMRU
File Path : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU
์ด๊ธฐ ํน์ ์ ์ฅ ๊ธฐ๋ฅ์ด ์๋ ํ์ผ(ex. ๋ฉ๋ชจ์ฅ)์ด ์์ ๋, ์ด๋ฆฐ ํ์ผ๋ค์ด ์ฌ๊ธฐ์ ๋จ๊ฒ ๋๋ค.
ํ์ฅ์๋ณ๋ก ๋ฆฌ์คํธ๊ฐ ์๋ ๊ฒ์ ํ์ธํ ์ ์๋ค.
- LastVisitedPidIMRU
File Path : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU
์ด๊ธฐ ํน์ ์ ์ฅ ๊ธฐ๋ฅ์ด ์๋ ํ์ผ(ex. ๋ฉ๋ชจ์ฅ)์ด ์์ ๋ ์ด๊ธฐ๋ฅผ ํ ์์ฉ ํ๋ก๊ทธ๋จ์ด ์ฌ๊ธฐ์ ๋จ๊ฒ ๋๋ค.
(7) Registry - USB Connection
File Path
- ๋ชจ๋ USB: HKLM\SYSTEM\ControlSet001\Enum\USB
- USB ์ ์ฅ์ฅ์น: HKLM\SYSTEM\ControlSet001\Enum\USBSTOR
- ๋ง์ดํธ ๋๋ฐ์ด์ค: HKLM\SYSTEM\MountedDevices
USB ๋ฑ ์ธ๋ถ ์ ์ฅ๋งค์ฒด ์ฐ๊ฒฐ ํ์ ์ ์ถ์ ๊ฐ๋ฅํ๋ค.
USB ์ ํ๋ช , ์๋ฆฌ์ผ ๋ฒํธ, ์ต์ด ์ฐ๊ฒฐ ์๊ฐ, ๋ง์ง๋ง ์ฐ๊ฒฐ ์๊ฐ ๋ฑ์ ํ์ธํ ์ ์๋ค.
๋จผ์ HKLM\SYSTEM\ControlSet001\Enum\USB ๊ฒฝ๋ก๋ก ์ ์ํ๋ฉด ์์คํ ์ ์ฐ๊ฒฐ๋์๋ ๋ชจ๋ USB ์ฅ์น์ ์ ๋ณด๋ค์ ํ์ธํ ์ ์๋ค.
VID์ PID๋ ๊ฐ๊ฐ ์ ์กฐ์ฌ๋ฅผ ๋ปํ๋ Vendor ID์ ์ํ ๋ฒํธ๋ฅผ ๋ปํ๋ Product ID๋ฅผ ์๋ฏธํ๋ค.
๋ฐ๋ผ์ VID์ PID๋ฅผ ํตํด USB์ ์ข ๋ฅ๋ฅผ ์ ์ ์๋ค.
๋ค์์ผ๋ก HKLM\SYSTEM\ControlSet001\Enum\USBSTOR ๊ฒฝ๋ก๋ก ์ ์ํ๋ฉด ์์คํ ์ ์ฐ๊ฒฐ๋์๋ ๋ชจ๋ USB ์ ์ฅ ์ฅ์น์ ์ ๋ณด๋ค์ ํ์ธํ ์ ์๋ค.
์ฌ๊ธฐ์๋ ๋๊ฐ์ด VID์ PID๊ฐ ๋์ค๊ธฐ ๋๋ฌธ์ ์ด๋ฅผ ๊ฒ์ํด๋ณด๋ฉด USB์ ์ข ๋ฅ๋ฅผ ์ ์ ์๋ค.
(์๋ธํค์๋ ์ ๊ทผ ๋ถ๊ฐ)
Properties์ ์ ๋ณด๊ฐ ๋ง์ (๋๊ตฌ๋ฅผ ํตํด ํ์ธ ๊ฐ๋ฅ)
๋ง์ง๋ง์ผ๋ก HKLM\SYSTEM\MountedDevices ๊ฒฝ๋ก๋ก ์ ์ํ๋ฉด, ์์คํ ์ ๋ง์ดํธ๋์๋ ์ฅ์น์ ๋ฆฌ์คํธ๋ฅผ ํ์ธํ ์ ์๋ค.
(7) Registry - Shellbags
File Path
- HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags
- HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
- HKCU\Software\Microsoft\Windows\Shell\Bags
- HKCU\Software\Microsoft\Windows\Shell\BagMRU
์ฌ์ฉ์๊ฐ ์ ๊ทผํ ํด๋ ์ ๋ณด๋ฅผ ๊ธฐ๋กํ๋ค. (์ญ์ ๋ ํด๋์ ์ ๋ณด๋ ์ฐพ์ ์ ์์)
- BagMRU๋ ํด๋์ ๊ตฌ์กฐ๋ฅผ ๊ณ์ธต์ ๊ตฌ์กฐ๋ก ๋ํ๋ธ๋ค. -> ๊ตฌ์กฐ ํ์ธ
- Bag์ ์๋์ฐ ์ฌ์ด์ฆ, ์์น ๋ฑ ์ฌ์ฉ์์ ํ๊ฒฝ ์ค์ ์ ์ ์ฅํ๋ค. -> ๋ฐ์ดํฐ ํ์ธ
3. ๋ ์ง์คํธ๋ฆฌ ์ค์ต
(1) ๋ฐํํ๋ฉด registry ํด๋ ์์ฑ
registry ํด๋ ์์ clean, raw, result ํด๋ ์์ฑ
-> ๊ฐ๊ฐ์ ๋ ์ง์คํธ๋ฆฌ๊ฐ raw ์ํ๋ก ์กด์ฌํ ๋, ์ด๋ฅผ clean์ผ๋ก ๋ง๋ค์ด์ result์ผ๋ก ์ ์ฅํด์ผ ํ๋ค
(2) FTK Imager ์คํ
- Add Evidence Item - Logical Drive - C drive ๋ฑ๋ก
- root\Users\์ฌ์ฉ์ ๊ณ์
์ฌ์ฉ์ ๊ณ์ ์ ๋ค์ด๊ฐ์ NTUSER.DAT, ntuser.dat.LOG1, ntuser.dat.LOG2 ํ์ผ์ ์ ํํด์ค๋ค.
3๊ฐ์ ํ์ผ์ ์ ํํ์ฌ registry\raw ํด๋์ Export ํด์ค๋ค.
- root\windows\System32\config
config์ ๋ค์ด๊ฐ๋ฉด DEFAULT, DEFAULT.LOG1, DEFAULT.LOG2, SAM, SAM.LOG1, SAM.LOG2, SECURITY, SECURITY.LOG1, SECURITY.LOG2, SOFTWARE, SOFTWARE.LOG1, SOFTWARE.LOG2, SYSTEM, SYSTEM.LOG1, SYSTEM.LOG2 ํ์ผ์ ์ ํํ๋ค.
(3) ๋ถ์ ๋๊ตฌ ์ค์น
ํด๋น ํ์ผ๋ค์ Exportํ์ฌ registry\raw ํด๋์ ์ ์ฅํ๋ค.
- Reggar (๊ณ ๋ ค๋์์ ๋ง๋ค์๋๋ฐ ์ ํ๋๊ฐ ๋์ง๋ ์์)
http://forensic.korea.ac.kr/tools.html
forensic.korea.ac.kr
์คํ์ ํ๋ฉด ์๋์ผ๋ก ๋ ์ง์คํธ๋ฆฌ๋ฅผ ์์งํด์ค๋ค. (REGA > raw ์ ์ ์ฅ)
LOG.1, 2๊ฐ ๋จ์ง ์๊ธฐ ๋๋ฌธ์ ์ ํ๋๊ฐ ๋จ์ด์ง
- REGA๋ฅผ ์ด์ฉํด์ ๋ ์ง์คํธ๋ฆฌ ๋ถ์์ ํด๋ณผ ์ ์๋ค.
๋ ์ง์คํธ๋ฆฌ ๋ถ์ > ํ์ค ์๊ฐ๋ ์ค์ > .. > ๋ถ์ ์์
- ์๋์ฐ ์ค์น ์ ๋ณด ํด๋ฆญ
์๋์ฐ ์ค์น ์ ๋ณด, ์ฌ์ฉ์ ๊ณ์ ์ ๋ณด, ์คํ ๋ช ๋ น ๋ฑ์ ํ์ธํ ์ ์๋ค.
- RLA
dirtyํ raw๋ฅผ clean์ผ๋ก ๋ฐ๊ฟ์ฃผ๋ ๋๊ตฌ
MDwiki
ericzimmerman.github.io
์คํ
> .\rla.exe -d "C:\Users\bythu\Desktop\registry\raw" --out "C:\Users\bythu\Desktop\registry\clean"
- Regripper
์ข์ ๋๊ตฌ์ด์ง๋ง ์ฝ๊ฐ ์ฌ์ฉ์ด ์ด๋ ค์
GitHub - keydet89/RegRipper3.0: RegRipper3.0
RegRipper3.0. Contribute to keydet89/RegRipper3.0 development by creating an account on GitHub.
github.com
- ์ค์น ํ gui ๋ฒ์ ์ธ rr ์คํ
Hive file์ RLA ์ ์ฉ ๊ฒฐ๊ณผ๋ก ๋ง๋ค์ด์ง cleanํ raw๋ฅผ ์ ๋ก๋ํ๊ณ , Rip! ๋ฒํผ์ ๋๋ฌ ์คํํ๋ค.
์คํ ๊ฒฐ๊ณผ๋ก Regripper์ Plugin ๋ชฉ๋ก์ ํ์ธํ ์ ์๋ค.
