Windows artifacts

윈도우가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소. 윈도우의 사용자가 수행하는 활동에 대한 정보를 보유하고 있는 개체.

  • 생성 증거: 프로세스, 시스템에서 자동으로 생성한 데이터
  • 보관 증거: 사람이 기록하여 작성한 데이터
  • Windows Artifacts
    • 레지스트리
    • $MFT, $Logfile, $UsnJrnl
    • LNK
    • JumpList
    • Recycle Bin
    • Prefetch&Cache
    • Timeline
    • VSS
    • 웹브라우저 아티팩트
    • EventLogs

registry

윈도우 운영체제와 응용 프로그램 운영에 필요한 정보를 담고있는 계층형 데이터베이스

운영체제 및 응용 프로그램의 설정 정보, 서비스의 중요 데이터 등 기록

부팅 과정부터 로그인, 서비스 실행, 응용프로그램 실행, 사용자 행위 등 모든 활동에 관여

윈도우 시스템의 모든 정보가 담겨있음 → 윈도우 시스템 분석의 필수 요소

  • 시스템 표준 시간
  • 시스템 정보
  • 사용자 계정 정보
  • 환경변수 정보
  • 자동 실행 프로그램
  • 응용프로그램 실행 흔적
  • USB 연결 흔적
  • 접근한 폴더 정보

레지스트리 조회 → regedit 이용(조회 및 편집 가능)

 

 

  • timezone
    • HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation
    • Bias를 통해 현재 컴퓨터의 timezone을 알 수 있음
  • Systeminfo
    • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
    • 현재 윈도우 버전, 설치시간, Productid 등 시스템과 관련된 정보들
  • Autoruns
    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
    • HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    • HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
  • User Account
    • HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\
    • S-1-5-18: systemprofile
    • S-1-5-19: LocalService
    • S-1-5-20: NetworkService
    • S-1-5-21: 사용자가 만든 계정
    • 1000 이상은 user 권한
    • 500은 administrator
    • 사용자의 최종 로그인 시간: LocalProfileLoadTimeHigh + LocalProfileLoadTimeLow
  • Environment Variables
    • 시스템/사용자 환경변수 확인
    • 경로 → 사용자 환경변수, HKU\(SID)\Environment
  • Excutable
    • 응용 프로그램 실행에 따른 흔적
    • UserAssist: 최근에 실행한 프로그램 목록, 마지막 실행시간, 실행횟수
    • OpenSavePidIMRU: 열기 혹은 저장 기능으로 사용된 파일
    • LastVisitedPidIMRU: 열기 혹은 저장 기능으로 사용한 응용 프로그램
  • USB Connection
    • USB 등 외부 저장매체 연결 흔적을 추적 가능
    • USB 제품명, 시리얼 번호, 최초 연결 시각, 마지막 연결 시각
    • 모든 USB: HKLM\SYSTEM\ControlSet001\Enum\USB
    • USB 저장장치: HKLM\SYSTEM\ControlSet001\Enum\USB\USBSTOR
    • 마운트 디바이스 HKLM\SYSTEM\MountedDevices
    • VID와 PID를 검색하면, USB 종류를 알 수 있음
  • Shellbags
    • 사용자가 접근한 폴더 정보를 기록
    • BagMRU: 폴더의 구조를 계층적 구조로 나타냄
    • Bag: 윈도우 사이즈, 위치 등 사용자의 환경설정을 저장
    • 삭제된 폴더의 정보도 찾을 수 있음
저작자표시 비영리 변경금지

'동아리_I.Sly()' 카테고리의 다른 글

디지털 포렌식 w3  (0) 2025.03.29
디지털 포렌식 w1, w2  (0) 2025.03.29
I.Sly() CAMP Reversing Write-up  (0) 2025.02.17
bandit 풀이 level 0~6  (0) 2024.10.04
w3 요약  (1) 2024.10.04

티스토리툴바