Registry Analysis
디스크 분석 과정에서 레지스트리 분석은 다양한 시스템 정보, 사용자 정보, 프로그램 정보, 네트워크 정보들을 확인할 수 있기 때문에 중요한 과정으로 여겨진다. 본글의 내용은 그중 프로그램 정보, MRU 정보, 네트워크 정보 확인 방법을 정리하여 실습한 글이다.
Program Information
1. 설치된 응용프로그램 정보
경로: '도구 상자'의 '설치된 응용 프로그램' 항목 선택
확인 가능한 정보: 설치된 응용 프로그램 정보
(Chrome, Microsoft Edge 확인 가능)
2. 설치된 프로그램 목록 정보
경로: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
확인 가능 정보: 응용 프로그램의 SID, 프로그램의 이름, 설치 시각, 설치 경로, 버전 정보
3. 실행한 프로그램 상세 정보
경로: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
경로: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\UserAssist\{GUID}\Count
확인 가능 정보: 실행한 프로그램의 경로, 실행 유형(GUID), 실행 횟수, 마지막 실행 시간 정보
값 데이터가 ROT13로 인코딩 되어 있어 디코딩 과정이 필요하다. 아래는 ROT13으로 인코딩 되어 있는 실행 한 프로그램의 경로를 디코딩한 결과이다. 추가적으로 내부의 값을 확인하면, 마지막 실행 시간을 확인할 수 있다.
MRU Information
1. 응용프로그램 사용 로그 정보
경로: '도구 상자'의 '응용프로그램 사용 로그' 항목 선택
확인 가능한 정보: 응용프로그램 사용 로그 정보
(IE10Analyzer.exe, Microsoft Edge 바로가기 등의 프로그램 확인 가능)
2. 최근 실행 파일 정보
경로: '도구 상자'의 '최근 실행 파일' 항목 선택 + 'MS Office', '한글' 최근 실행 파일
확인 가능한 정보: 최근 실행 파일 정보
(REGA 바로가기, FTK Imager 바로가기 등의 프로그램 확인 가능)
경로: KCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
확인 가능 정보: 최근 실행한 문서, 그림, 동영상 등의 파일 정보
MRUListEx의 키 값을 통해 파일을 실행했던 순서 정보 확인 가능, 아래의 예시에서는 9, 8, 7, 6, 5, 4, 3, 2, 1 순서로 파일을 접근하였다.
3. 프로그램 실행 명령어 정보
경로: HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
확인 가능 정보: 'Windows + R'로 실행한 명령어 정보
MRUList의 키 값을 통해 실행했던 명령어 순서 정보 확인 가능, 아래의 예시에서는 a 하나만 존재한다.
4. 탐색기로 접근한 폴더 정보
경로: HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVistitedPidMRU
확인 가능 정보: 탐색기로 접근한 폴더 목록 정보
MRUListEx의 키 값을 통해 탐색기로 접근한 폴더 목록 순서 정보 확인 가능, 아래의 예시에서는 2, C, 3, 4, B, A, 9, 8, 1, 7, 6, 5, 0 순서로 폴더에 접근하였다.
5. 탐색기로 접근 or 저장한 파일 정보
경로: HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidMRU
확인 가능 정보: 탐색기로 접근 or 저장한 파일 목록 정보
MRUListEx의 키 값을 통해 탐색기로 접근 or 저장한 파일 목록 순서 정보 확인 가능, 아래의 예시에서는 5, 4, 3, 0, 12, 13, 10, 11, 8, F, E, 1, D, C, B, 6, A, 9, 2, 7 순서로 해석할 수 있다.
Network Information
1. 네트워크 정보
경로: HKLM\SYSTEM\ControlSet\Control\Network\{GUID}\Connection
확인 가능 정보: 네트워크 이름 정보
2. 네트워크 카드 정보
경로: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards
확인 가능 정보: 네트워크 카드 GUID 정보
네트워크 카드: 컴퓨터가 네트워크에 연결되도록 하는 하드웨어 장치
3. 장치 IP 정보
경로: HKLM\SYSTEM\ControlSet00x\Services\Tcpip\Parameter\Interfaces\{GUID}
확인 가능 정보: 장치 DHCP IP, 장치 IP 정보
DHCP(Dynamic Host Configuration Protocol): 네트워크 상의 장치들에게 자동으로 IP 주소를 할당하는 프로토콜로, 사용자는 수동으로 네트워크 설정을 조정할 필요 없이 쉽게 네트워크에 연결할 수 있게 해주는 역할을 한다.
4. 네트워크 식별자 & 네트워크 접속 정보
경로: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Wireless
확인 가능 정보: 무선 네트워크 식별자(Wireless Identifier) 정보
경로: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signature\Unmanaged
확인 가능 정보: 무선랜 접속 정보 (식별자로 구분)
5. 무선 네트워크 정보
경로: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profile\{GUID}
확인 가능 정보: 무선 네트워크 이름, 최초 연결 시간, 마지막 연결 시간 정보
이전 글
[Digital Forensic] Regostry "System & User Information" Analysis
Reference
http://www.forensic-artifacts.com/registry-forensics/sub01
https://0xstn.medium.com/windows-forensics-1-thm-2fd8ea7ac41d