🥨 Artifact란?
사전적 의미 : 인공물, 유물
포렌식적 의미 : 운영체제나 애플리케이션을 사용하면서 생성되는 흔적
디지털 증거의 종류
생성 증거 - 프로세스, 시스템에서 자동으로 생성한 데이터
ex) 윈도우 시스템에서 레지스트리, 프리/슈퍼패치, 이벤트로그 등
보관 증거 - 사람이 기록하여 작성한 데이터
ex) 직접 작성한 메일 내용, 블로그 작성 내용, 직접 작성한 문서 등
휘발성 증거 - 컴퓨터 실행 시 메모리 또는 임시 공간에 저장되는 디지털 증거
ex) 프로세스, 예약작업, 인터넷 연결 정보, 네트워크 공유 정보, 메모리 정보 등
비휘발성 증거 - 컴퓨터 종료 시에도 삭제되지 않고 존재하는 디지털 증거
ex) 파일 및 파일 시스템, 운영체제, 로그 데이터, 설치된 소프트웨어
윈도우 아티팩트 (Windows Artifacts)
Windows가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소
Windows의 사용자가 수행하는 활동에 대한 정보를 보유하고 있는 개체
윈도우 아티팩트의 종류
- 레지스트리
- $MFT, $Logfile, $UsnJrnl
- LNK
- JumpList
- Recycle Bin
- Prefetch & Cache(s)
- Timeline
- VSS
- 웹브라우저 아티팩트
- EventLogs
레지스트리 Registry
윈도우 운영체제와 응용 프로그램 운영에 필요한 정보를 담고 있는 계층형 데이터베이스
운영체제 및 응용 프로그램의 설정 정보, 서비스의 중요 데이터 등 기록
부팅 과정부터 로그인, 서비스 실행, 응용프로그램 실행, 사용자 행위 등 모든 활동에 관여
윈도우 시스템의 모든 정보가 담겨 있어, 윈도우 시스템 분석의 필수 요소
레지스트리에서 발견할 수 있는 흔적
- 시스템 표준 시간(TimeZone)
- 시스템 정보(Systeminfo)
- 사용자 계정 정보
- 환경 변수 정보
- 자동 실행 프로그램
- 응용프로그램 실행 흔적(UserAssist, OpenSavePidIMRU, LastVisitedPidIMRU)
- USB 연결 흔적
- 접근한 폴더 정보(Shellbag)
레지스트리 조회하기
실행 키 (Windows 키 + R) 를 통해 레지스트리 편집기(regedit) 이용
레지스트리 편집기는 레지스트리 조회 및 편집 기능을 가짐
레지스트리 구조
HKEY_CLASSES_ROOT(HKCR) : 파일 확장자 연결 정보, COM 객체 등록 정보
HKEY_CURRENT_USER(HKCU) : 현재 시스템에 로그인된 사용자의 프로파일 정보
HKEY_USERS(HKU) : 시스템의 모든 사용자와 그룹에 관한 프로파일 정보
HKEY_LOCAL_MACHINE(HKLM) : 시스템의 하드웨어, 소프트웨어 설정 및 기타 환경 정보
HKEY_CURRENT_CONFIG(HKCC) : 시스템이 시작할 때 사용되는 하드웨어 프로파일 정보
Timezone
HKLM\SYSTEM\CurrentControlSet\Control\TimeZonInformation
바이어스(Bias)를 통해 현재 컴퓨터의 timezone을 알 수 있음
현재 컴퓨터의 설정은 UTC+9
Systeminfo
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
현재 윈도우 버전, 설치 시간, ProductId 등 시스템과 관련된 정보들
제품 ID - ProductId 00330-80000-00000-AA823
원래 설치 날짜 - InstallDate, InstallTime 2021-03-23, 오전 2:48:49
레지스트리의 데이터 자료를 DCode를 통해 날짜 형태로 확인 가능
- Decode Format = Unix: Numeric Value
- 10진수 형태의 데이터를 디코딩
Autoruns
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
시작 프로그램(Autoruns) 확인
User Account
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\
• S-1-5-18 : systemprofile
• S-1-5-19 : LocalService
• S-1-5-20 : NetworkService
• S-1-5-21 : 사용자가 만든 계정
• 1000 이상 : user 권한
• 500 : administrator
사용자의 최종 로그인 시간
LocalProfileLoadTimeHigh 0x01D86507
LocalProfileLoadTimeLow 0x1B10D9D8
LocalProfileLoadTime = LocalProfileLoadTimeHigh + LocalProfileLoadTimeLow
= 0x01D865071B10D9D8
- Decode Format = Windows: 64 bit Hex Value - BigEndian
- 16진수 형태의 데이터를 디코딩
Environment Variables
시스템/사용자 환경변수 확인
사용자 환경변수
HKU\SID\Environment
시스템 환경변수
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment
Executable
응용프로그램(exe) 실행에 따른 흔적
- UserAssist: 최근에 실행한 프로그램 목록, 마지막 실행 시간, 실행 횟수
- OpenSavePidIMRU: 열기 혹은 저장 기능으로 사용된 파일
- LastVisitedPidIMRU: 열기 혹은 저장 기능을 사용한 응용 프로그램
UserAssist
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
• {CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count: 실행파일 실행 기록
• {F4E57C4B-2036-45F0-A9AB-443BCFE33D9F}\Count: 바로가기 실행 기록
OpenSavePidIMRU
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU
LastVisitedPidIMRU
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU
USB Connection
USB 등 외부 저장매체 연결 흔적을 추적 가능
USB 제품명, 시리얼 번호, 최초 연결 시각, 마지막 연결 시각
모든 USB: HKLM\SYSTEM\ControlSet001\Enum\USB
USB 저장장치: HKLM\SYSTEM\ControlSet001\Enum\USB\USBSTOR
마운트 디바이스: HKLM\SYSTEM\MountedDevices
Shellbags
사용자가 접근한 폴더 정보를 기록함
Bag: 윈도우 사이즈, 위치 등 사용자의 환경설정을 저장
BagMRU: 폴더의 구조를 계층적 구조로 나타냄
HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags
HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
HKCU\Software\Microsoft\Windows\Shell\Bags
HKCU\Software\Microsoft\Windows\Shell\BagMRU
사용자가 접근한 폴더 정보를 기록함
삭제된 폴더의 정보도 찾을 수 있음
