Windows Forensic/Evidence Analysis

[Digital Forensic] Registry "System & User Information" Analysis

DF_m@ster 2024. 1. 11. 14:32

Registry Analysis

디스크 분석 과정에서 레지스트리 분석은 다양한 시스템 정보, 사용자 정보, 프로그램 정보, 네트워크 정보들을 확인할 수 있기 때문에 중요한 과정으로 여겨진다. 본글의 내용은 그중 시스템 정보, 사용자 정보 확인 방법을 정리하여 실습한 글이다.

 

 

 

System Information

1. 윈도우 설치 정보

'도구 상자'의 '윈도우 설치 정보' 항목을 선택하면 윈도우 설치 관련 정보를 확인할 수 있다.

확인 가능한 정보: 운영체제 이름(Product Name), 사용자 이름(Owner), 운영체제 식별자 ID(Product ID), 운영체제 세부 버전(Product Version), 조직 이름(Organization), 운영체제 설치 날짜(Install Date), 운영체제 설치 루트 경로(System Root) 정보

윈도우 설치 정보

 

경로: HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion

확인 가능한 정보: 운영체제 이름(ProductName), 사용자 이름(Owner), 조직 이름(Organization), 운영체제 식별자 ID(Product ID), 운영체제 세부 버전(BuildLab(Ex)), 운영체제 설치 날짜(InstallData, Time)(유닉스 시간), 운영체제 설치 루트 경로(SystemRoot) 정보

시스템 기본 정보

 

 

 

2. 시스템 저장장치 정보

'도구 상자'의 '하드웨어 정보'에서 '저장장치' 항목을 선택하면 시스템 저장장치 정보를 확인할 수 있다.

시스템 저장장치 정보

 

 

 

3. 컴퓨터 이름 정보

경로: HKLM\SYSTEM\ControlSet00x\Control\ComputerName\ActiveComputerName

확인 가능한 정보: 시스템에 등록된 컴퓨터 이름(ComputerName)

컴퓨터 이름 정보

 

 

 

4. 시스템 시간 정보

경로: HKLM\SYSTEM\ControlSet00x\Control\TimeZoneInformation

확인 가능한 정보: 로컬 컴퓨터의 표준 시간대 이름(TimeZoneKeyName) 정보

시스템 시간 정보

 

 

 

5. 시스템 마지막 종료 시간 정보

경로: HKLM\SYSTEM\ControlSet00x\Control\Windows\ShutdownTime

확인 가능 정보: 마지막종료시간확인(ShutdownTime)

시스템 마지막 종료 시간 정보

 

 

 

6. 시스템 종료 시 페이지 파일 삭제 정보

경로: HKLM\SYSTEM\Control00x\Control\Session Manager\Memory Management

확인 가능 정보: 시스템 종료 시 페이지 파일 삭제(ClearPageFileAtShutdown) 정보

0x00 시스템 종료 시 페이지 파일 유지 (Default)
0x01 시스템 종료 시 페이지 파일 삭제

시스템 종료 시 페이지 파일 삭제 정보

 

 

 

7. 파일 삭제 시 휴지통 이벤트 활성화 여부 정보

경로: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{GUID}

확인 가능 정보: 시스템 종료 시 페이지 파일 삭제(NukeOnDelete) 정보

0x00 파일 삭제 시 휴지통 이동 (Default)
0x01 파일 삭제 시 즉시 삭제

 

 

 

8. 자동 실행 프로그램 정보

경로: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

경로: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

 

Run: 로그온 한 사용자 상관없이 자동 실행되는 프로그램 항목 (시스템이 부팅될 때마다 실행)

RunOnce: 로그온 한 사용자 상관없이 자동 실행되는 프로그램 항목 (신규 사용자가 로그인할 때마다 실행)

 

 

확인 가능 정보: 자동 실행 프로그램(Run, RunOnce) 정보

자동 실행 프로그램 정보

 

 

 

 

 

User Information

1. 사용자 계정 정보

경로: SAM\SAM\Domain\Account\Users\{RID}

경로: SAM\SAM\Domain\Account\Users\Names\{Accounts}

확인 가능 정보: 사용자 최종 로그인 시간, RID(SID 식별 값), 로그인 계정 이름, 계정 전체 이름 정보

 

각 사용자의 계정 정보는 Users의 하위 키(RID)에 저장되며, Names 키 이하의 동일한 순서에 이름 키 값을 쌍(파란색)으로 갖는다.

사용자 계정 정보

V Field F Field
최종 로그인 시각 (Offset 8 -15) 로그인 계정 이름
패스워드 재설정 시각 (Offset 24 -31) 계정 설명
계정 만료 시각 (Offset 32 -39) 전체 이름
로그인 실패 시각 (Offset 40 -47) LM 해쉬
RID (SID의 마지막 식별 부분) NT 해쉬
계정 상태 정보  
국가 코드  
로그인 실패 횟수  
로그인 성공 횟수  

 

 

 

2. 사용자 프로필 목록 정보

경로: HKLM\SOFTWARE\Microsoft\WindowsNT\CurrnetVersion\ProfileList\{SID}

확인 가능 정보: 사용자 프로필 정보

 

아래에 확인된 SID 값을 대상으로 SID(Security Identifier) 값 해석 방법을 표로 정리해 두었다.

사용자 프로필 목록 정보

Value Info
S SID 시그니처
1 SID 버전 정보
5 권환 정보
21-4282454075-318807702-712275591 로컬 컴퓨터 식별 정보
1001 관리자 계정(500 이상), 사용자 계정(1000 이상)

 

 

 

3. 마지막 로그인 사용자 정보

경로: HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\LastUsedUsername

확인 가능 정보: 마지막 로그인 사용자 계정 이름(LastUsedUsername) 정보

마지막 로그인 사용자 정보

 

 

4. 사용자 별 시스템 경로 정보

경로: HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders

확인 가능 정보: 사용자 별 시스템 경로 정보(LastUsedUsername) 정보

사용자 별 시스템 경로 정보

 

 

 

다음 글

[Digital Forensic] Registry "Program & Network Information" Analysis

 

 

 

 

 

 

Reference

http://www.forensic-artifacts.com/registry-forensics/sub01

https://0xstn.medium.com/windows-forensics-1-thm-2fd8ea7ac41d