디지털 포렌식 3주차 스터디

해당 강의를 수강하며 정리한 내용입니다.

[무료] 기초부터 따라하는 디지털포렌식 - 인프런 | 강의

---

1. 윈도우 아티팩트 (Windows Artifacts)

• Windows가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소
• Windows의 사용자가 수행하는 활동에 대한 정보를 보유하고 있는 개체

컴퓨터에서 아티팩트란 사용자가 어떤 활동을했을 때 자동으로 생성이 되는 특정 포맷의 "흔적" 이라고 생각 하면 됨

 
주로 아티팩트에는 생성증거와 보관증거로 나뉨

• 생성 증거: 프로세스, 시스템에서 자동으로 생성한 데이터 <- 윈도우 아티팩트는 생성 증거에 해당
• 보관 증거:  사람이 작성 및 기록하여 작성한 데이터

 

- 대표적인 윈도우 아티팩트

: 레지스트리, $MFT, $Logfile, $UsnJrnl, LNK, JumpList, Recycle Bin(휴지통), Prefetch & Cache(s), Timeline, VSS, 웹브라우저 아티팩트, EventLogs

 

윈도우 아티팩트를 공부할 때 중요한 점 
- 사용자의 행위에 따라 어디에 어떤 정보가 저장될까?
- 컴퓨터는 대체 어떻게 작동하는걸까?
즉, 사용자는 컴퓨터로 무슨 일을 했을까?

 

 

---

2. 레지스트리

: Windows 운영체제와 응용 프로그램 운영에 필요한 정보를 담고 있는 "계층형 데이터베이스" 이다. 

• 운영체제 및 응용 프로그램의 설정 정보, 서비스의 중요 데이터 등 기록
• 부팅 과정부터 로그인, 서비스 실행, 응용 프로그램 실행, 사용자의 행위 등 모든 활동에 관여

윈도우 시스템 전반의 모든 정보가 담겨 있음 -> 즉, 윈도우 시스템 분석의 필수 요소 

 

- 레지스트리에 담겨 있는 정보

: 시스템 표준 시간 (TimeZone), 시스템 정보 (Systeminfo), 사용자 계정 정보, 환경 변수 정보, 자동 실행 프로그램,응용 프로그램 실행 흔적 (UserAssist, OpenSavePidlMRU, LastVisitedPidlMRU), USB 연결 흔적, 접근한 폴더 정보 (Shellbag) 등

 

 

레지스트리 조회 (Windows + R 을 누른 후 regedit)

 

레지스트리를 보기 위해서는 Windows 키와 R키를 동시에 눌러, regedit을 입력하면 된다

 

- 레지스트리 구조

레지스트리는 Root Key와 Key가 있고, Key안에 데이터를 살펴보면 Value(이름), Type(종류), Data(데이터)가 있다

 

 

 

여러 개의 Key로 구성되어 있으며 Key는 Key와 Sub Key로 계층형 구조를 이룬다. 

(Key와 Sub Key는 상대적인 개념)

 

(1) Root Key

 

최상단의 5개 키를 root key라고 부른다. 

 

 

HKEY_CLASSES_ROOT(HKCR)	파일 확장자 연결 정보, COM 객체 등록 정보
HKEY_CURRENT_USER(HKCU)	현재 시스템에 로그인된 사용자의 프로파일 정보
HKEY_LOCAL_MACHINE(HKLM)	시스템의 하드웨어, 소프트웨어 설정 및 기타 환경 정보
HKEY_USERS(HKU)	시스템의 모든 사용자와 그룹에 관한 프로파일 정보
HKEY_CURRENT_CONFIG(HKCC)	시스템이 시작할 때 사용되는 하드웨어 프로파일 정보

 

레지스트리의 경로 검색 창에서도 약어를 인식하고 있음

 

 

(2) Registry - Timezone

경로: HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation

 

 

 

해당 경로로 가면, Bias를 통해 현재 컴퓨터의 Timezone을 알 수 있다.

Timezone은 현재 컴퓨터가 UTC + 9에 설정되어 있음을 알려주는 값이다. (한국시간 UTC+9, 미국이 UTC+0이라고 한다.)

 

 

(3) Registry - Systeminfo

File Path : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion

 

해당 경로로 가면, 현재 윈도우 버전, 설치 시간, ProductID 등 시스템과 관련된 정보들을 얻을 수 있다.

 

 

 

파워쉘에 systeminfo를 입력했을 때 나오는 값이다. 

 

 

 

실습을 통해 InstallTime 값을 확인해보도록 한다. 

실습에 필요한 Dcode를 설치한다. 

 

https://www.digital-detective.net/dcode/ 

DCode™ – Timestamp Decoder - Digital Detective

 

 

- installTime 값 복사 

 

 

- Dcode 

 

 

- sysinfo 결과로 나온 값과 일치한다는 것을 실습을 통해 다시 한 번 확인할 수 있다. 

 

다음으로는 sytemDate값을 확인해보도록 한다. 

 

- systemDate 값 복사: 1687868723

 

 

- unix timestamp를 현재 시간으로 변경시켜주는 사이트 

https://www.epochconverter.com/

Epoch Converter

 

결과값이 모두 동일하다는 것을 알 수 있다.

 

 

(4) Registry - Autoruns

File Path
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

 

Autoruns는 컴퓨터를 실행 했을 때, 바로 같이 실행되는 시작 프로그램을 말한다. (자동 실행 프로그램)

• Run: 레지스트리에 계속 남아서 컴퓨터가 실행될 때마다 실행
• RunOnce: 한 번 실행된 다음, 레지스트리가 삭제됨
• RunOnceEx: RunOnce와 기능은 같지만 삭제 타이밍이 다름 

 

 

 

시작 프로그램은 설정 > 시작 프로그램에서도 확인할 수 있다. 

 

 

 

(5) Registry - User Account

File Path : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\

 

 

User Account는 사용자의 계정 및 권한을 알 수 있으며, 사용자의 최종 로그인 시간까지 알 수 있다.

 

• S - 1 - 5 - 18 : SystemProfile
• S - 1 - 5 - 19 : LocalService
• S - 1 - 5 - 20 : NetworkService
• S - 1 - 5 - 21 : 사용자가 만든 계정
  • 1000 이상은 user 권한을 의미
  • 500은 administrator(관리자 권한)를 의미

 

악성코드 중 계정을 하나 더 만들어 관리자 권한을 얻어 악의적 행위를 하는 경우가 있기 때문에 자세히 봐야 함 

 

 

 

S-1-5-21에서 LocalProfileLoadTimeHigh의 데이터와 LocalProfileLoadTimeLow의 데이터를 순서대로 (high-low) 이어붙인 값을 DeCode로 확인하면 사용자의 최종 로그인 시간을 구할 수 있다.

 

0x1da0bf3 + 0xac1d5f79 = 0x1da0bf3ac1d5f79

 

 

 

(6) Registry -  Environment Variables

 

File Path
- 사용자 환경 변수: HKU\{SID}\Environment
- 시스템 환경 변수: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment

 

 

SID는 User Account에서 확인했던 ID를 의미한다.

HKEY_USERS\S-1-5-21...1001\Environment으로 들어가면 사용자 환경 변수를 확인할 수 있다

 

 

 

사용자 계정에 대한 환경 변수 값이 나온다.

 

 

일반적으로 시스템 환경 변수에 값을 많이 입력하기에 시스템 환경 변수에 정보가 더 많이 존재한다.

 

 

 

+) 위가 사용자 계정에 대한 환경변수, 밑이 시스템 변수 설정

 

 

(6) Registry - Executable

• Executable은 응용프로그램 실행에 따른 흔적을 볼 수 있는 레지스트리 경로입니다.
• UserAssist : 최근에 실행한 프로그램 목록, 마지막 실행 시간, 실행 횟수
• OpenSavePidIMRU : 열기 혹은 저장 기능으로 사용된 파일
• LastVisitedPidIMRU : 열기 혹은 저장 기능을 사용한 응용 프로그램

 

- UserAssist

File Path: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

 

UserAsist아래에 있는 복잡한 값들을 CLS ID라고 한다.

CLS ID는 윈도우 시스템에서 예약된 값으로, 임의로 지정되는 값이 아니라 모두 의미를 가진다.

• {CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}에서는 실행 파일 실행 기록을 확인할 수 있다.
• {F4E57C4B-2036-45F0-A9AB-443BCFE33D9F}에서는 바로 가기 실행 기록을 확인할 수 있다.

 

 

여기에 있는 값들은 전부 인코딩이 되어 있어 읽기 어렵다.

 

 

 

https://rot13.com/ 에서 디코딩을 진행해준다.

(앞부분은 CLS ID이므로 디코딩X.. 실수로 같이 복사했다)

 

 

 

- OpenSavePidIMRU

File Path : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU

 

열기 혹은 저장 기능이 있는 파일(ex. 메모장)이 있을 때, 열린 파일들이 여기에 남게 된다. 

확장자별로 리스트가 있는 것을 확인할 수 있다. 

 

 

- LastVisitedPidIMRU

File Path : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU

 

열기 혹은 저장 기능이 있는 파일(ex. 메모장)이 있을 때 열기를 한 응용 프로그램이 여기에 남게 된다. 

 

 

 

 

(7) Registry - USB Connection

File Path
- 모든 USB: HKLM\SYSTEM\ControlSet001\Enum\USB
- USB 저장장치: HKLM\SYSTEM\ControlSet001\Enum\USBSTOR
- 마운트 디바이스: HKLM\SYSTEM\MountedDevices

 

USB 등 외부 저장매체 연결 흔적을 추적 가능하다.

USB 제품명, 시리얼 번호, 최초 연결 시각, 마지막 연결 시각 등을 확인할 수 있다.

 

 

먼저 HKLM\SYSTEM\ControlSet001\Enum\USB 경로로 접속하면 시스템에 연결되었던 모든 USB 장치의 정보들을 확인할 수 있다. 

VID와 PID는 각각 제조사를 뜻하는 Vendor ID와 상품 번호를 뜻하는 Product ID를 의미한다.

따라서 VID와 PID를 통해 USB의 종류를 알 수 있다. 

다음으로 HKLM\SYSTEM\ControlSet001\Enum\USBSTOR 경로로 접속하면 시스템에 연결되었던 모든 USB 저장 장치의 정보들을 확인할 수 있다.

여기서도 똑같이 VID와 PID가 나오기 때문에 이를 검색해보면 USB의 종류를 알 수 있다. 

(서브키에는 접근 불가)

 

 

Properties에 정보가 많음 (도구를 통해 확인 가능)

 

 

 

 

마지막으로 HKLM\SYSTEM\MountedDevices 경로로 접속하면, 시스템에 마운트되었던 장치의 리스트를 확인할 수 있다.

 

 

 

 

(7) Registry - Shellbags

File Path
- HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags
- HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
- HKCU\Software\Microsoft\Windows\Shell\Bags
- HKCU\Software\Microsoft\Windows\Shell\BagMRU

 

사용자가 접근한 폴더 정보를 기록한다. (삭제된 폴더의 정보도 찾을 수 있음)

• BagMRU는 폴더의 구조를 계층적 구조로 나타낸다. -> 구조 확인 
• Bag은 윈도우 사이즈, 위치 등 사용자의 환경 설정을 저장한다. -> 데이터 확인 

 

---

3. 레지스트리 실습 

(1) 바탕화면 registry 폴더 생성

 

registry 폴더 안에 clean, raw, result 폴더 생성

-> 각각의 레지스트리가 raw 상태로 존재할 때, 이를 clean으로 만들어서 result으로 저장해야 한다  

 

 

(2) FTK Imager 실행 

 

- Add Evidence Item - Logical Drive  - C drive 등록

 

- root\Users\사용자 계정

사용자 계정에 들어가서 NTUSER.DAT, ntuser.dat.LOG1, ntuser.dat.LOG2 파일을 선택해준다. 

 

 

3개의 파일을 선택하여 registry\raw 폴더에  Export 해준다. 

 

 

 

- root\windows\System32\config

config에 들어가면 DEFAULT, DEFAULT.LOG1, DEFAULT.LOG2, SAM, SAM.LOG1, SAM.LOG2, SECURITY, SECURITY.LOG1, SECURITY.LOG2, SOFTWARE, SOFTWARE.LOG1, SOFTWARE.LOG2, SYSTEM,  SYSTEM.LOG1, SYSTEM.LOG2 파일을 선택한다. 

 

 

 

(3) 분석 도구 설치 

 

해당 파일들을 Export하여 registry\raw 폴더에 저장한다.

 

- Reggar (고려대에서 만들었는데 정확도가 높지는 않음)

http://forensic.korea.ac.kr/tools.html

 

 

실행을 하면 자동으로 레지스트리를 수집해준다. (REGA > raw 에 저장)

LOG.1, 2가 남지 않기 때문에 정확도가 떨어짐 

 

 

- REGA를 이용해서 레지스트리 분석을 해볼 수 있다.

레지스트리 분석 > 표준 시간대 설정 > .. > 분석 시작 

 

 

- 윈도우 설치 정보 클릭 

윈도우 설치 정보, 사용자 계정 정보, 실행 명령 등을 확인할 수 있다.

 

 

- RLA

dirty한 raw를 clean으로 바꿔주는 도구 

MDwiki

 

실행 

 

 

> .\rla.exe -d "C:\Users\bythu\Desktop\registry\raw" --out "C:\Users\bythu\Desktop\registry\clean"

 

 

 

- Regripper 

좋은 도구이지만 약간 사용이 어려움 

GitHub - keydet89/RegRipper3.0: RegRipper3.0

 

- 설치 후 gui 버전인 rr 실행 

 

Hive file에 RLA 적용 결과로 만들어진 clean한 raw를 업로드하고, Rip! 버튼을 눌러 실행한다. 

실행 결과로 Regripper의 Plugin 목록을 확인할 수 있다.