EASY7

[포렌식] 하드디스크 포렌식 본문

보안 공부/다양한 지식

[포렌식] 하드디스크 포렌식

E.asiest 2021. 5. 11. 23:58

Timezone Setting

GMT : Greenwich Mean Time

- 기준 태양시

- 영국 그리니치 천문대 기준

UTC : Coordinated Universal Time

- 세슘 원자 시계 기준

- GMT 보다 정확함

 

레지스트리에서 Timezone 확인하는 방법 :

키 : 컴퓨터\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation 

값 : TimeZoneKeyName

값 데이터 : Korea Standard Time

 

레지스트리 포렌식

 하이브 파일

하이브 이름 하이브 파일  레지스트리 키
.DEFAULT %systemroot%\System32\Config\DEFAULT HKU\.DEFAULT
HARDWARE 파일로 저장 안됨 HKLM\HARDWARE
SOFTWARE %systemroot%\System32\Config\Software HKLM\SOFTWARE
SAM %systemroot%\System32\Config\SAM HKLM\SECURITY\SAM
SYSTEM %systemroot%\System32\Config\System HKLM\SYSTEM
SECURITY %systemroot%\System32\Config\Security HKLM\SECURITY
SID C:\Users\사용자명\NTUSER.DAT HKU\SID

 

UserAssist 분석

사용자가 실행한 프로그램 목록 저장. ROT13 암호화 알고리즘으로 암호화되어있음.

컴퓨터\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{계정ID..?}\Count

 

사용자 계정 확인

각 사용자에 대한 Profile 확인(해커가 생성 후 삭제한 계정 확인)

컴퓨터\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\

 

사용자 계정 확인

User Name, 로그인 횟수, 패스워드 변경 시간

레지스트리 편집기가 아닌 직접 추출해서 FTK 툴로 오픈

HKLM\SAM\Domains\Users 

 

최근 열어본 문서 

탐색기로 열어본 파일 목록

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

 

자동 실행 프로그램

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run

%SystemRoot%\System32\Tasks

 

설치된 프로그램

HKEY_USERS\software\microsoft\windows\currentVersion\Uninstall

HLKM\Software\Microsoft\windows\currentVersion\Uninstall

HKLM\software\wow6432node\microsoft\windows\currentversion\uninstall

 

최근 실행 명령어

시작 > 실행에서 실행한 명령어

HKCU\Software\Microsoft\windows\CurrentVersion\Explorer\RunMRU

 

컴퓨터 정보

HKLM\Software\Microsoft\WIndowsNT\CUrrentVersion

 

 

 

 

 

 

Prefetch 분석

응용 프로그램 실행 정보를 저장한 파일을 메모리에 올려두어 실행 속도를 빠르게 하기 우히ㅏㄴ 기능

%systemroot%\Prefetch 폴더에 .pf 확장자로 존재

WinPrefetchView 툴을 이용하여 확인.

 

 

 

NTFS 로그

파일 삭제 작업, 파일이 시스템에서 사용되었던 흔적

시스템에 더 이상 없는 파일 발견

NTFS Log Tracker 툴로 오픈

  • C:\$LogFile
  • C:\$MFT 
  • C:\$Extend\$sn.dn1\$J

 

 

 

 

외장형 저장장치 분석

HKLM\System\Controlset00x\Enum\USBSTOR

Device Class ID : Disk&벤더사&제품명&버전

어떤 드라이브에 연결되는지도 확인

  • USB Detective 툴 사용
  • 이벤트 뷰어로 연결 기록 확인
    • 연결 기록 Event ID : 1000, 1004, 2000, 2001, 2003, 2010
    • 연결 해제 기록 Event ID : 1006, 2100, 2102

휴지통 분석

INF02

$I, $R

 

 

인터넷 사용 이력 분석

IE 9 이전 : C:\Users\User\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

Windows File Analyzer 툴로 분석

 

IE 10 이후 : IE10Analyzer 툴로 분석

 

 

 

 

 

 

 

 

저작자표시 비영리 변경금지

'보안 공부 > 다양한 지식' 카테고리의 다른 글

자식 프로세스와 fork 함수  (0) 2021.07.18
SHA1 Collision Test Site  (0) 2021.05.13
[포렌식] 포렌식 개론  (0) 2021.05.11
[Adobe] 반디캠에서 찍고 어도비에서 편집하기 (2)어도비 설정하기  (0) 2021.03.29
[Adobe] 반디캠에서 찍고 어도비에서 편집하기 (1)반디캠 설정하기  (0) 2021.03.29
'보안 공부/다양한 지식' Related Articles more
Comments