레지스트리 분석

---

레지스트리 분석 필요성

 

- 시스템 정보와 사용자 다양한 정보를 확인할 수 있다.

- 최근 열람한 문서 파일 목록, 실행 파일 목록, 시스템 정보 등을 확인할 수 있다

 

. - 레지스트리 확인 명령어 : Ctrl+R -> ‘regedit’ 명령 실행

 

포렌식관점에서 사용자가 파일을 사용한 흔적을 찾는것이 목적

 

- HKEY CLASS ROOT : 파일 연관성과 COM 정보

- HKEY CURRENT USER : 현재 시스템에 로그인된 사용자 정보

- HKEY LOCAL MACHINE : 시스템 하드웨어 및 소프트웨어 정보

- HKEY USERS : 모든 사용자 정보

- HKEY CURRENT CONFIG : 시스템 시작시 사용되는 하드웨어 정보

 

---

레지스트리 분석시 중요 정보

 

- HKEY CURRENT USER, HKEY LOCAL MACHINE - HKEY LOCAL MACHINE은 다음 경로에 다시 하위 하이브 파일로 구성된다.

C:\Windows\System32\config

SAM 파일 : 로컬 계정 정보와 그룹 정보 // 계정정보 

SECURITY : 시스템 보안 정책과 권한 할당 정보

SOFTWARE : 시스템 부팅에 필요 없는 시스템 전역 구성 정보

SYSTEM : 시스템 부팅에 필요한 전역 구성 정보

 

C:\Windows\System32\config\systemprofile

ntuser.dat 파일 : 사용자 프로파일 정보

- 위의 5개의 파일은 실제 분석시 필요한 레지스트리의 하이브 파일이다

---

레지스트리 수집

- 다음 경로 가면 연결된 하이브 목록을 확인할 수 있다.

- 일반적으로 레지스트리 파일은 커널에서 열려 있기 때문에 직접 분석하거나 이미지에서 수집 하여 분석한다.

 

시스템 정보

 

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

- OS 설치 날짜/시간, OS 버전, 컴퓨터 이름, 그룹 이름, 운영체제 설치 경로 확인 가능

설치된 프로그램 정보 

 

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

- 설치된 프로그램 이름, 버전, 게시자, 설치 날짜/시간, 설치 경로 확인 가능

이런식으로 uninstall을 누르면 항목들이 나오고, 하나씩 들어가보면 다음과 같이 프로그램에대한 정보가 각각 뜨게된다. 

컴퓨터 이름 

 

- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ComputerName

- 컴퓨터 이름 확인 가능

 

SID 정보

 

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

- 계정에 대한 보안 식별자(권한 관련 정보를 담고 있는 ID) 정보

사용자 계정 기본 폴더

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

마지막 로그인한 사용자 정보

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

시스템 마지막 종료 시간

- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Windows

표준 시간대 - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\TimeZoneInformation

이벤트 로그 정보

- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\eventlog

 

응용 프로그램 사용 흔적

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

- {CE ~ : 실행시킨 응용프로그램 정보

- {F4 ~ : 시작 메뉴에 저장되어 있으며, 실행시킨 응용프로그램 정보

그림판으로 열어본 파일 흔적

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Paint \Recent File List

- File번호 : 번호가 낮을 수록 최근에 열어본 파일

 

워드패드로 열어본 파일 흔적 -

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Wordpad \Recent File List

- File번호 : 번호가 낮을 수록 최근에 열어본 파일

 

MS 오피스 사용 흔적

- HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Excel\File MRU - HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\PowerPoint\File MRU - HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Word\File MRU

한글 사용 흔적

 

- HKEY_CURRENT_USER\Software\HNC\Hwp\8.0\HwpFrame\RecentFile 

??? 왜안뜨는지 몰겠ㄷ음

곰플레이어 사용 흔적 - HKEY_CURRENT_USER\Software\GRETECH\GomPlayer\OPTION

 

- 마지막 접근 폴더 및 파일 정보 확인 가능 PDF(Adobe) 사용 흔적

 

- HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\11.0\AVGeneral\cRecentFiles

 

검색기를 이용한 키워드 사용 흔적

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer \WordWheelQuery]

최근 열어본 파일 흔적

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

최근 실행창에 실행/검색한 명령 흔적 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

저장 매체 연결 흔적

- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR

- C:\Windows\inf\setupapi.dev.log

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses -

HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices

 

 외부시스템 연결 정보 (원격데스트탑 ‘mstsc’를 이용하여 접속할 경우 정보 저장) -

HKEY_USERS\S-1-5-21-2128383417-2113153026-2455313902-500\Software\Microsoft \Terminal Server Client\Default 사용한 프로그램의 창 제목

이것도 안뜸

 

- HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft \Windows\Shell\MuiCache

알림 영역 아이콘

- HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft \Windows\CurrentVersion\TrayNotify

작업표시줄 고정 리스트 정보

 

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Taskband

 

이런식으로 파일주소를 찾아가면 해당 정보를 찾을 수 있다.

단순하므로 아래의 과정은 생략하고 파일경로만 쓰겠음

 

탐색기 주소 창에 입력한 경로 리스트 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths

최근 읽기 또는 저장한 파일 흔적

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer \ComDlg32\OpenSavePidlMRU 최근에 접근한 폴더 흔적

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer \ComDlg32\LastVisitedPidlMRU

 

서비스 및 드라이버 목록

- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services

네트워크 카드 관련 정보

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards

네트워크 정보 관련

- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Tcpip\Parameters\Interfaces

무선랜 관련 정보

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList \Profiles

 

IE 다운로드 디렉토리 및 설정 정보

- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer - HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

타이핑한 URL 목록

- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs

즐겨찾기 목록

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder \Favorites\Links

응용프로그램 호환성 캐시 (호환성 문제가 발생했던 응용 프로그램 정보 저장) - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager \AppCompatCache

 

부팅시 자동 실행되는 소프트웨어 정보

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon \shell - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion \Run - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup - C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs \Startup

 

명령 프롬프트 실행시 자동으로 시작되는 소프트웨어 정보

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor

레지스트리 편집기에서 마지막으로 접근한 키에 대한 정보 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit

 

---

---

레지스트리 분석

 - 사용 도구 : REGA
 - REGA 실행 -> 파일 -> 레지스트리 분석 -> 시간 '서울' 확인 -> 레지스트리 분석 항목 적당히 입력 -> '01_레지스트리 분석 ' 폴더선택 -> 분석 시작


1. 시스템 사용자 이름은 무엇인가?

2. 시스템 윈도우 버전, 제품 ID, 설치 날짜/시간은 어떻게 되는가?

3. 컴퓨터 이름은 무엇인가?

[힌트] computername

4. 시스템의 타임존은 무엇인가?

[힌트] timezone

5. 탐색기에서 검색한 키워드들은 무엇인가?

6. 시스템 IP 주소, 서브넷 마스크, 기본 게이트웨이 IP 주소는 어떻게 되는가? 

7. DNS 서버, DHCP 서버 IP 주소는 어떻게 되는가?


8. 시스템의 기본 브라우저는 무엇인가?

[힌트] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command


9. 브라우저 기본 메인 페이지는 무엇인가?

[힌트] HKEY_USERS\NTUSER\Software\Microsoft\Internet Explorer\Main


10. Natasha가 IE에 입력한 URL 주소는 무엇이며 몇개인가?

키워드검색

왼쪽에 윈도우레지스트리눌러서 분석가능

 

열어본 페이지