디지털포렌식 강의
I. Windows Registry Analysis - REGA를 이용하여 EC3 Challenge 실습
1. REGA (Registry Analyzer)
: REGA는 4&6 Teach에서 개발한 레지스트리 분석 도구 유료프로그램이다. 사용자 활동 정보, 시스템 설정 정보, 응용프로그램 정보, 네트워크 정보, 하드웨어 정보를 분석하고 보고서 기능과 검색 기능을 제공한다.
* REGA 레지스트리 입력 파일
<시스템의 전체적인 설정 정보를 담고 있는 레지스트리 파일>
DEFAULT : 제어판, 키보드, 키보드 레이아웃과 같은 기본 정보
SAM : 로컬 계정과 그룹 정보 - %Windir%System32\config
SECURITY : 시스템의 보안과 권한 관련 정보 - %Windir%System32\config
SOFTWARE : 시스템 부팅과 관련 없는 전역 설정 정보 - %Windir%System32\config
SYSTEM : 시스템 부팅에 필요한 전역 설정 정보 - %Windir%System32\config
<사용자별로 유지해야 하는 정보 - 사용자 프로파일 폴더>
NTUSER.DAT : 사용자별 설정 정보 - %UserProfile%\NTUSER.DAT
1) 실습폴더에 아래 경로에 있는 Natasha\NTUSER.DAT 파일을 복사하여 REGA를 통하여 NTUSER.DAT 파일을 선택하여 불러올 때 해당 경로에 총 6개의 파일이 존재해야 한다.
: REGA는 4&6 Teach에서 개발한 레지스트리 분석 도구 유료프로그램이다. 사용자 활동 정보, 시스템 설정 정보, 응용프로그램 정보, 네트워크 정보, 하드웨어 정보를 분석하고 보고서 기능과 검색 기능을 제공한다.
* REGA 레지스트리 입력 파일
<시스템의 전체적인 설정 정보를 담고 있는 레지스트리 파일>
DEFAULT : 제어판, 키보드, 키보드 레이아웃과 같은 기본 정보
SAM : 로컬 계정과 그룹 정보 - %Windir%System32\config
SECURITY : 시스템의 보안과 권한 관련 정보 - %Windir%System32\config
SOFTWARE : 시스템 부팅과 관련 없는 전역 설정 정보 - %Windir%System32\config
SYSTEM : 시스템 부팅에 필요한 전역 설정 정보 - %Windir%System32\config
<사용자별로 유지해야 하는 정보 - 사용자 프로파일 폴더>
NTUSER.DAT : 사용자별 설정 정보 - %UserProfile%\NTUSER.DAT
1) 실습폴더에 아래 경로에 있는 Natasha\NTUSER.DAT 파일을 복사하여 REGA를 통하여 NTUSER.DAT 파일을 선택하여 불러올 때 해당 경로에 총 6개의 파일이 존재해야 한다.
C:\Users\karas\Desktop\Win&EnCE_10.14\forens1c_Win Forensic_Sample.vol1\Registry\Windows Registry Analysis\Users\Natasha\NTUSER.DAT
NTUSER.DAT를 C:\Users\karas\Desktop\Win&EnCE_10.14\forens1c_Win Forensic_Sample.vol1\Registry\Windows Registry Analysis 경로에 복사해야지만 분석이 가능하다.
2) REGA를 이용하여 레지스트리 분석하기
- 파일 -> 레지스트리 분석
- 파일 -> 레지스트리 분석
- 표준 시간대 설정
3) Windows Registry Analysis.hwp 파일 챌린지 문제 풀이
- C, 사용자이름 : Natasha
- A, 컴퓨터이름 : HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ComputerName
WIN-S550ED416I9
- A, 타임존 : HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\TimeZoneInformation
Eastern Standard Time
- A(carrots), B(cookies) : 검색 키워드(경로 확인 필요)
- IE Typing한 URL 주소 : REGA -> IE 열어본 페이지
A, B, C, D
- 기본 IP : 172.16.53.141
B
- dns 네임서버 IP : 172.16.53.2
2. Web Browser 분석
- 캐시, 히스토리, 쿠키, 다운로드 정보
- 사용자가 웹 브라우저를 이용하여 남기는 아티팩트 분석
- 필요성 : 인터넷 의존성, 범죄 관련 정보가 웹에 남을 가능성
1) IE
- IE도 버전에 따라 9이하, 10이상으로 나뉜다.
- cache, history, cookie, download 별로 파일별로 관리
- Exdbviewer
온라인으로 활성화가 되어 있기 때문
exdb filetype이 강력하기 떄문에 온라인으로 자동활성화가 되기 때문에, 파일 분석이 까다로우며, 현재 나온도구는 온라인 여부 상관없이 분석이 가능하다.
2) Firefox
다양한 플러그인 지원, 시장 세계 3위, 플러그인을 통해 불법으로 동영상 다운로드 가능
IE와 다르게 sqlite3 포맷을 사용하여 데이터를 저장
다만, cach, history, cookie, download 파일이 나눠져 있다?
profile.ini 값이 저장되는 경로
ftk imager 로 보면 -> cache 파일을 분석 가능
sqlite 파일을 sql 브라우저로 던지면 history, cookie 분석 가능 db browser for sqlite
3) google
시장 점유율 1위, 가장 빠른 속도와 가장 적은 cpu접유율
안정성과 효율적인 인터페이스 중점
cache, history, cookie, download, typing url, new tab(새로운 탭을 열었을 때 나오는 최근 접속 사이트 8개의 정보)
4) 웹브라우저 분석 도구,
iecacheview
iecookieview
iehistoryview
indexdat analyzer
browsinghistoryview
sqlitebrowser
esedbviewer
ie10 analyzer : 인터넷익스플로러 전체를 분석
3. ETC - Link 파일
1) 실행창 - recent
- 링크 파일을 분석함으로서 실행된 볼륨의 ID, 생성, 접근, 쓰기, 원본경로, 원본 사이즈를 알 수 있음
- 작업 표시줄 및 시작 메뉴 – 개인정보 탭
- 윈도우 키 + e -> 내컴퓨터 폴더에서 드라이브가 안보이고 최근 파일들이 열리면 옵션 활성화 여부 확인
2) 유틸리티
Lnk parsing utility
Lnkanalyser
Windows file analyzer
010editor
Lnk parser 실행 – recent 클릭 -> 최근 실행한 링크파일들을 모두 보여줌, 또는 링크 파일 지정 가능
Hex editor 로 링크파일 수동 분석 방법 확인 하기 offset 확인
4. ETC - Recycle Bin
- 윈도우에서 파일 삭제 할 경우, 기본적으로 휴지통으로 이동되기 떄문
- 기본 폴더
- 사용자별 폴더를 가지고 있음
Shift + delete
- 파일 삭제 시 $R~ / $I~ 파일이 생성 됨
- $R~ 파일은 실제 삭제된 데이터
- $I~ 파일은 삭제된 파일에 대한 메타 데이터
- 파일 크기, 삭제된 시간, 원본 경로 , -à리틀엔디안이기 떄문에 거꾸로 .
- 원본 경로는 윈7, 윈10이 구조가
1) 실습
바탕화면에 아무 텍스트 파일 만들기
shift + delete(영구삭제)가 아닌 그냥 delete 키로 삭제
FTk accessdata Imager 실행
휴지통에서 파일 지우지 말것
자기 PC의 물리디스크를 마운트
root-$Recycle.Bin
- 복원을 시켜버리면 삭제를 한 시간정보가 사라지기 떄문에 주의, 의도적으로 지웠는지에 대한 여부를 확인해야 하기 때문
5. Thumbnail
- 탐색기 창에서 미리보기 창 -> 미리보기가 가능한 파일은 Thumbnail에 들어간다.
-초기 방문 시 썸네일을 저장해두고 재 방문 시 저장된 데이터를 보여줌 > 속도향상
- 기본적으로 활성화
저장경로는 C:\users\username\appdata\local\microsoft\windows\Explorer 에 각종 썸네일 파일들이 있다.
thumcache 분석
로마윈(local-microsoft-windows) 으로 기억할것. 썸네일 경로
5-1. icon cache
- 외부저장장치/광학드라이브 사용흔적 확인
- 안티포렌식도구 사용흔적(아이콘) - 기업에서 안티포렌식도구를 너무 많이 사용, 감사회피 목적으로 많이 사용함
- 악성코드흔적(아이콘 보유시 / 애드웨어)
- 프로그램 사용 흔적(프로그램을 삭제 하여도 Icon 정보는 남음)
C:\users\유저네임\appdata\local\IconCache.db 로 저장
내 PC 같은 경우 administrator에 존재함
세션1 - 윈도우 기본이나 커널단에 들어가는 아이콘
세션2나 세션3
-> 프로그램 사용 흔적을 확인 가능, 레지스트리 분석으로는 중복이나 어렵기 때문에 iconcache로 분석하는 것이 수월하다.
레지스트리로 안나오는 정보들을 볼 수 있다.
6. prefetch
- 실행 파일이 사용하는 시스템을 특정 파일에 미리 저장해놓은 파일
- 윈도우 부팅 시 프리패치 파일을 모두 메모리에 로드
- 미리 로드된 내용을 토대로 실행 속도 향상
- 윈도우xp 이후 운영체제에서 제공하는 기능
- 응용프로그램 이름 , 실행횟수, 마지막 실행시각 등 획득
C:\Windows%Prefetch\에 저장
부트 프리패치 :
응용프로그램 프리패치 :
- 레지스트리에서 프리패치 설정 확인
- 0 비활성화, 1-응용s/w 사용자, 2-부트프리패치, 3-응용,부트프리패치 모두 증적 남김
7. Jumplist
1) jumplistview.exe 실행
-응용프로그램 사용흔적
최근 접근한 폴더 및 문서 표시
USerassist 레지스트리 키 (활성/비활성화 가능)
WIn 7 이후 추가된 기능
8. 기타 포렌식 관점 분석
lastActiveView
MFT ADS 분석을 통한 다운로드 파일 확인
/ 슈퍼타임라인
log to timeline? -> MFT에서는 못잡는 모든 메타데이터의 시간정보까지 획득
RecentFileCache
시그니처분석, 스테가노그라피로 은닉정보 분석
이메일분석
AV로그, 이벤트로그, 슬랙공간, 볼륨섀도우, 작업스케줄러, 웹애플리케이션(IIS, Apache, Tomcat)
Windows defender - win10에서는 강제로 비활성화가 안됨
안티포렌식도구들..
볼륨섀도우 - 최근에는 잘 안씀
작업스케줄러 - 악성코드 분석 시 자주 사용
웹 서버 - 다방면으로 단에서 용도 및 종합적으로 확인
9. Win8
- 메모리구조 변화 : pagefile.sys 외에 swapfile.sys (최근 사용 앱정보, 사용자 계정정보 추출 가능)
- 레지스트리 추가 : TypeURLsTime 레지스트리(URL 입력 시간), 3개의 하이브 파일(BBI, DRIVERS, ELAM)
- 메트로 아티팩트(앱) : 시작화면 앱정보
- 파일 히스토리 기능 : 라이브러리,,
- PC 복구와 초기화 : 포맷없이 가능
10. Win10
- 기본 프로세스의 변화 : MS Edge 브라우저 관련 프로세스와 Onedrive 추가
- 부트 볼륨 크기의 변화 : 기존 100MB -> 500mb
- Recycle.bin 구조 변경
$I : 삭제 정보 -> 일부 구조 변경, 파일명에 따라 가변적인 크기를 가짐(이전에는 544Byte 고정)
- 윈도우 앱 스토어
- 윈도우 디펜더
- 이메일 아티팩트,
contana
- MS Edge -- WebCacheV01.dat -> IE10analyzer 자동 Path 잡아줌
댓글 없음:
댓글 쓰기