Cellebrite CTF 2022에서 찾은 내용.
SOFTWARE 하이브 내부의 "ROOT\Microsoft\Windows\CurrentVersion\Authentication\LogonUI"를 보면, 아래와 같이 LastLoggedOnProvider 값을 찾을 수 있는데, 이 값이 바로 Credential Provider를 의미한다.
근처의 "ROOT\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers"를 보면 아래와 같은 Credential Provider들이 존재한다.
그 중에서 일치하는 녀석을 고르면, 아래와 같이 WinBio Credential Provider임을 알 수 있다.
(지문인증을 사용하는 것으로 보인다)
비전공자 출신 화이트햇 해커