'registry'에 해당되는 글 3건

  1. 2012.05.14 Windows Files / 시간 정보
  2. 2012.05.14 Windows 8 Forensics - 4. Registry
  3. 2012.05.14 Windows 8 Forensics - 1. Interface

Windows Files / 시간 정보


Link - 링크 대상 Birth / Access / Modification


Prefetch - 마지막 실행 시간


INFO2 - 삭제된 시간


Event Log - 생성 시간 / 작성 시간


Registry - 마지막 쓰여진 시간


Index.dat - 방문시간


MFT - Birth / Modification / Changing / Access


'Forensics' 카테고리의 다른 글

Time Encoder 공유  (1) 2012.08.22
Windows 8 Forensics - 4. Registry  (0) 2012.05.14
Windows 8 Forensics - 3. Artifacts (2)  (0) 2012.05.14
Windows 8 Forensics - 2. Artifacts (1)  (0) 2012.05.14
Windows 8 Forensics - 1. Interface  (0) 2012.05.14
Posted by 도시형닌자
:

Windows 8 Forensics - 4. Registry

Registry를 Mining하는 작업은 포렌식적으로 굉장히 유용하다. 해당 섹션에서 포렌식적으로 유용한 경로를 알아본다. 이전 Windows버전과 비슷하다. ^^


- NTUSER.DAT

NTUSER.DAT는 특정한 사용자에 대한 정보를 기록한다. 만약 여러 사용자가 컴퓨터에 존재할 경우, NTUSER.DAT 역시 여러개 존재하게 된다. 이 파일에는 사용자가 열었던 파일이나 사용한 어플리케이션, 방문했던 웹사이트 등을 남긴다. 경로는 아래와 같다.

기본 경로 : %SystemRoot%\Users\%User%\NTUSER.DAT\


Typed URL Time

%SystemRoot%\Users\%User%\NTUSER.DAT\Software\Microsoft\Internet Explorer\TypedURLsTime\

%SystemRoot%\Users\%User%\NTUSER.DAT\Software\Microsoft\Internet Explorer\TypedURLs\

Typed URL Time은 바이너리로 저장되며 1601년 1월 1일 GMT 00:00:00 이후의 100나노세컨드로 표현된다. FILETIME 구조는 두개의 32비트 값으로 구성되어 있으며, 이 값은 64비트 값을 표현하기 위해 결합되었다. URL들은 TypedURLs에서 확인할 수 있으며, 각각의 값은 TypedURLsTime과 연관지을 수 있다. 


- SAM

사용자 계정에 대한 정보를 담고 있다. 어느 도메인에 존재하는지 어떤 경로에 있는지 등을 알 수 있다. SAM key는 사용자 이름들을 저장한다, 이 저장된 이름은 로그인을 위해 사용되거나 사용자 계정의 RID(Relative Identifier)로 사용된다. SAM 안에 저장된 데이터는 아래 경로에서 찾을 수 있다.


기본 경로 : %SystemRoot%\Windows\System32\Config\SAM


Username 확인

%SystemRoot%\Windows\System32\config\SAM\Domains\Account\Users\%UserNumber%\GivenName

%SystemRoot%\Windows\System32\config\SAM\Domains\Account\Users\%UserNumber%\Sername


Last Logon

0x8-15의 8byte값

%SystemRoot%\Windows\System32\config\SAM\Domains\Account\Users\%UserNumber%\F


Last Password Change

0x24-31의 8byte값

%SystemRoot%\Windows\System32\config\SAM\Domains\Account\Users\%UserNumber%\F


Account Expiration

0x32-39의 8byte값 / 설정이 되어있지 않으면, 시간정보가 확인이 안되며, FF FF FF FF 로 표현된다.

%SystemRoot%\Windows\System32\config\SAM\Domains\Account\Users\%UserNumber%\F


Last Failed Logon

0x40-47의 8byte값

%SystemRoot%\Windows\System32\config\SAM\Domains\Account\Users\%UserNumber%\F


User's RID

0x48-49의 2byte값 / RID(Relative Identifier)

%SystemRoot%\Windows\System32\config\SAM\Domains\Account\Users\%UserNumber%\F


User's Tile

%SystemRoot%\Windows\System32\config\SAM\Domains\Account\Users\%UserNumber%\UserTile



- SYSTEM

SYSTEM은 OS에 대한 정보를 담고 있다. Device에 할당된 Drive letter, 컴퓨터 이름, 타임존, 시스템에서 사용한 USB 등이 있다. 또한 control sets에는 시스템 부팅에 관련된 설정이 담겨져 있다.


기본 경로 : %SystemRoot%\Windows\System32\config\System


Current Control Set : Current

%SystemRoot%\Windows\System32\config\SYSTEM\Select\Current

01은 현재 ControlSet001이라는 것을 알려준다.


Current Control Set : LastKnownGood

%SystemRoot%\Windows\System32\config\SYSTEM\Select\LastKnownGood

마지막에 성공적으로 부팅한 Control Set 번호를 의미한다.


Mounted Devices

%SystemRoot\Windows\System32\config\SYSTEM\MountedDevices\


Device Letter를 저장하고 있다. Device Letter는 USB를 연결하고 제거해도 마지막에 저장된 USB의 정보를 기록하고 있다.

Last Graceful Shutdown Time

마지막 정상 종료 시간

%SystemRoot%\Windows\System32\config\SYSTEM\ControlSet001\Control\Windows\ShutdownTime


시간 정보는 Windows FILETIME 로 기록되어 있다.


Sensor and Location Devices

%SystemRoot%\Windows\System32\config\SYSTEM\ControlSet001\Enum\SWD\SensorsAndLocationEnum\LPSensorSWDevice\HardwareID


Sensor and Location Devices는 Windows 7에서 부터 사용된 새로운 기능이다. 해당 기능이 활성화되면, 사용자는 Internet을 통하도록 설계된 활동에 대해서 OS와 함께 동작하도록 되어 있다. 예를 들어 GPS정보를 들 수 있다. Windows 8에서는 해당 기능이 활성화 되어 있다.


USB STORAGE DEVICES

%SystemRoot%\Windows\System32\config\SYSTEM\ControlSet001\Enum\USBSTOR


시스템에 연결된 USB 저장 장치는 SYSTEM 안에 생성되는 Key로 확인이 가능하다. Key에는 USB 저장장치가 연결된 PORT와 HUB, Time Stamp, Drive letter가 기록되어 있다. USB 저장장치가 시스템에 연결되지 않으면 당연히 USBSTOR Key가 생성되지 않는다. 하지만 분석가는 Link File, Restore Points, Shadow Copy, Setupapi.dev.log를 점검해야한다.


USBSTOR는 USB의 이름을 저장하고 있으며, Vendor ID, Product ID, Revision Number, Serial Number를 기록하고 있다. 만약 Device가 Serial Number를 가지고 있지 않다면, Windows는 Unique Instance ID를 부여한다. Serial Number의 두번째 Character가 "&"이면, Serial Number가 없는 거다. Serial Number가 없는 거는 "o&26D88A54&o"와 같은 Unique Instance ID를 부여 받는다.



FriendlyName에 USB의 이름이 저장되어 있다.

%SystemRoot%\Windows\System32\config\SYSTEM\ControlSet001\Enum\USBSTOR\%USB NAME%\%Unique Intance ID%\FriendlyName


Mounted Devices에서 보면 하나의 USB Device에 대한 하나의 Drive letter를 부여한다. 그러나 USBSTOR에서는 두개의 USB 저장장치가 저장된다. 


이러한 정보를 가지고 Tracking이 가능한가? 물론 가능하다. Tracking하는 법을 시작한다.


Prod_Flash_Disk에 대한 Unique Instance ID로 이동한다. 나중에 Unique Instance ID를 사용하므로 기록한다. 그리고 Unique Instance ID 아래에서 Container ID를 찾아서 기록한다. Windows 7부터 시스템에 설치된 각각의 Instance는  Container ID를 부여받는다.  PNP(Plug-n-Play) Manager는 Container ID를 사용하여 하나나 그 이상의 Device node를 그룹한다. 그룹들은 해당 Device가 어디에서 존재했는지, 어떤 Instance에 속해 있는지 알려준다. Instance는 Device Container라고 볼 수 있다.



Container ID에서 {07a38620-8a9c-5995-9d21-f13dbf1e51ea}를 발견하였다. 해당 값은 Device Containers에서 Key 값으로 발견이 된다. 해당 Key를 확인하면 GUID를 찾을 수 있다. GUID는 {53f56307-b6bf-11d0-94f2-00a0c91efb8b}이다. 해당 값을 기록해 둔다. 

%SystemRoot%\Windows\System32\config\SYSTEM\CurrentControlSet\Control\DeviceContainers\%ContainerID%\BaseContainers

%SystemRoot%\Windows\System32\config\SYSTEM\CurrentControlSet\Control\DeviceContainers\%ContainerID%\Properties


USB Date & Time을 확인하기 위해 아래의 위치로 이동한다.

%SystemRoot%\Windows\System32\config\SYSTEM\ControlSet001\Enum\USB\%VID&PID%\%Unique Instance ID%\Properties\{83da6326-97a6-4088-9453-a1923f573b29}\0064\0000


3번째 Entry에서 Prod_Flash_Disk가 plugin 된 시간 정보를 확인하기 위해서는 USB의 VID와 PID를 알아야 한다. 해당 USB의 VID와 PID는 VID_090C&PID_1000 이다. 시간 정보는 Windows FILETIME으로 확인할 수 있다.


그 다음 아래 위치를 이동하여 어떤 Port를 사용했는지 확인한다. Unique Instance ID에서 확인한 값을 가지고 확인해보면, LocationInformation을 확인할 수 있다. Hub2에 있는 Port1을 사용한 것을 알 수 있다.

%SystemRoot%\Windows\System32\config\SYSTEM\ControlSet001\Enum\USB\%VID&PID%\%Unique Instance ID%\LocationInformation


Mounted Device로 가서 GUID인 {87697c82-6708-11e1-8e1c-74f06da8e34b}를 확인하여 Prod_Flash_Disk가 사용된 흔적을 발견할 수 있을 것으로 생각되었는데, 같은 GUID값은 존재하지 않는다.


%SystemRoot%\Windows\System32\config\SYSTEM\MountedDevices\


이런 경우는 새로운 Device가 다시 할당 되었다는 의미이다. 그러므로 Link Files과 Restore Points, Shadow Copies, Setupapi.dev.log를 확인하여 사용자가 무슨 행위를 했는지 분석해야 한다.


Mounted Devices는 하나밖에 값을 보여주지 않는다.  


- SOFTWARE

SOFTWARE는 OS에 대한 정보를 담고 있다. Version, Installed Time, Registerd Owner, Last User to Logon, Members of a Group


기본 경로 : %SystemRoot%\Windows\System32\config\SOFTWARE


'Forensics' 카테고리의 다른 글

Time Encoder 공유  (1) 2012.08.22
Windows Files / 시간 정보  (0) 2012.05.14
Windows 8 Forensics - 3. Artifacts (2)  (0) 2012.05.14
Windows 8 Forensics - 2. Artifacts (1)  (0) 2012.05.14
Windows 8 Forensics - 1. Interface  (0) 2012.05.14
Posted by 도시형닌자
:
Windows 8 Forensics - 1. Interface

터치 스크린을 대비하여 설계되었다. 손가락으로 탐색이 가능하도록 설정되어 있다. 문서 역시 Flipping을 통해서 가능하며, Zoom기능도 제공된다.

App Data 와 Local and Roaming 폴더는 여전히 존재하며, 여러 부분이 이 전 버전과 닮아 있다. 레지스트리는 그 전과 같은 구조이다. ^^

Windows 프로그램은 기존의 것들과 같다 하지만 일부분은 Windows 8에서 다르다.

Windows 8은 Mobile devies를 겨냥하여 출시되었다. 그러므로 인터페이스는 확실히 다르다~

아래 화면은 lgin/lock 화면이다. 이 화면에서는 캘린더 이메일 페이스북 등의 알림을 볼 수 있다.

 

- 3가지의 로그인 방법

     일반적인 로그인 방법
     그림을 그려서 로그임(그림 패턴을 인식한다.)
     PIN sign-in

아래와 같은 그림을 그려서 로그인 하게 된다. 

- 시작 메뉴

시작 메뉴는 아래 그림과 같이 많은 모습이 바뀌었다. 프로그램들은 Wndows  Store를 사용하여 설치되거나 삭제되는 형태를 가지고 된다. 또한 기본 앱으로 지하철, 지도, Internet Explorer 10,  날씨 등과 같은 앱이 설치되어 있다. 이러한 부분으로 좀 더 사용자 친화적으로 만들어 진 것을 느낄 수 있다.

 

Windows 8 Desktop에는 Charmes라는 기능이 있다. 이 기능은 Search, share, Devices, Setting등을 바로 바로 이동할 수 있게 도와준다.

 

- PC Settings

Charms를 통해 PC의 설정에 접근 가능하지만, Consumer Preview에서 많은 설정을 접근할 수 없지만, Windows 8이 특별하다는 것을 어느 정도 짐작하게 해준다. PC Settings에서 General을 보면 Refresh your PC와 Resetting your PC를 볼 수 있다. 기능은 아래와 같다.

Refresh your PC
     - 사용자의 파일들과 개별적으로 설정된 내역은 변경되지 않는다
     - PC의 설정은 초기 설정으로 돌아간다.
     - Windows Store로 부터 설치된 App들은 유지된다.
     - Windows Store가 아닌 다른 방법으로 설치된 내역은 삭제된다.
     - 삭제된 App 목록은 Desktop에 저장된다.

Resetting your PC
     - 사용자의 파일들과 APP들 모두 삭제된다.
     - 사용자의 PC는 최초의 설정으로 돌아간다. 

 

- Task Manager

Task Managet에는 프로레스 사용량과 사용자 관리 등 다양한 기능을 시각적으로 보여준다.

- Windows Store

Windows Store를 통해서 애플리케이션을 설치 또는 삭제 할 수 있다.
Windows Store를 통하지 않아도 애플리케이션을 설치 또는 삭제 할 수 있다.

 

- Messaging APP

Windows Live 계정을 통해서 대화를 할 수 있다.
Gtalk, Facebook 등을 연동하여 사용이 가능하다.


 

- Weather App

날씨를 알려주며, GPS기능을 기원한다.

 

- BSD(Blue Screen of Death)

Windows 8에서도 역시 BSD가 존재한다. 기존에는 많은 문자와 화면으로 좌절감을 심어주었지만, 이번에는 다르다. 사용자가 공감할 수 있도록 친절히 영어로 보여주며, 이쁜 이모티콘도 들어 간다. 


 

- Windows Desktop 

Windows Desktop의 모습이다. 새로운 Metro UI를 보여준다. Consumer Preview에서는 아래와 같이 시작 버튼이 사라져 있지만, Developer Preview에서는 시작버튼이 존재한다.   

 

 

시작버튼은 없지만 시작메뉴에는 접근이 가능하다. 왼쪽 아래로 마우스를 가지고 가서 멈춰 놓으면, Metro UI에 접근이 가능하고 왼쪽 스크린으로 이동하면, 사용자가 최근에 사용하거나 현재 동작중인 App들을 확인할 수 있다. 왼쪽 가장 위에 있는 것은 사용자가 마지막으로 실행한 App이다.

 

Windows 8의 Explorer는 어딘가 모르게 Microsoft Offtice와 닮아 있다. 탭으로 기능을 분할 하여 간편하게 이동하게 도와준다.



이거 참조했다. 근대 틀린거도 있고 추가할 부분도 좀 넣었다. 재미있었다.

 





Posted by 도시형닌자
: