Registry Analysis
디스크 분석 과정에서 레지스트리 분석은 다양한 시스템 정보, 사용자 정보, 프로그램 정보, 네트워크 정보들을 확인할 수 있기 때문에 중요한 과정으로 여겨진다. 본글의 내용은 그중 시스템 정보, 사용자 정보 확인 방법을 정리하여 실습한 글이다.
System Information
1. 윈도우 설치 정보
'도구 상자'의 '윈도우 설치 정보' 항목을 선택하면 윈도우 설치 관련 정보를 확인할 수 있다.
확인 가능한 정보: 운영체제 이름(Product Name), 사용자 이름(Owner), 운영체제 식별자 ID(Product ID), 운영체제 세부 버전(Product Version), 조직 이름(Organization), 운영체제 설치 날짜(Install Date), 운영체제 설치 루트 경로(System Root) 정보
경로: HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion
확인 가능한 정보: 운영체제 이름(ProductName), 사용자 이름(Owner), 조직 이름(Organization), 운영체제 식별자 ID(Product ID), 운영체제 세부 버전(BuildLab(Ex)), 운영체제 설치 날짜(InstallData, Time)(유닉스 시간), 운영체제 설치 루트 경로(SystemRoot) 정보
2. 시스템 저장장치 정보
'도구 상자'의 '하드웨어 정보'에서 '저장장치' 항목을 선택하면 시스템 저장장치 정보를 확인할 수 있다.
3. 컴퓨터 이름 정보
경로: HKLM\SYSTEM\ControlSet00x\Control\ComputerName\ActiveComputerName
확인 가능한 정보: 시스템에 등록된 컴퓨터 이름(ComputerName)
4. 시스템 시간 정보
경로: HKLM\SYSTEM\ControlSet00x\Control\TimeZoneInformation
확인 가능한 정보: 로컬 컴퓨터의 표준 시간대 이름(TimeZoneKeyName) 정보
5. 시스템 마지막 종료 시간 정보
경로: HKLM\SYSTEM\ControlSet00x\Control\Windows\ShutdownTime
확인 가능 정보: 마지막종료시간확인(ShutdownTime)
6. 시스템 종료 시 페이지 파일 삭제 정보
경로: HKLM\SYSTEM\Control00x\Control\Session Manager\Memory Management
확인 가능 정보: 시스템 종료 시 페이지 파일 삭제(ClearPageFileAtShutdown) 정보
| 0x00 | 시스템 종료 시 페이지 파일 유지 (Default) |
| 0x01 | 시스템 종료 시 페이지 파일 삭제 |
7. 파일 삭제 시 휴지통 이벤트 활성화 여부 정보
경로: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{GUID}
확인 가능 정보: 시스템 종료 시 페이지 파일 삭제(NukeOnDelete) 정보
| 0x00 | 파일 삭제 시 휴지통 이동 (Default) |
| 0x01 | 파일 삭제 시 즉시 삭제 |
8. 자동 실행 프로그램 정보
경로: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
경로: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Run: 로그온 한 사용자 상관없이 자동 실행되는 프로그램 항목 (시스템이 부팅될 때마다 실행)
RunOnce: 로그온 한 사용자 상관없이 자동 실행되는 프로그램 항목 (신규 사용자가 로그인할 때마다 실행)
확인 가능 정보: 자동 실행 프로그램(Run, RunOnce) 정보
User Information
1. 사용자 계정 정보
경로: SAM\SAM\Domain\Account\Users\{RID}
경로: SAM\SAM\Domain\Account\Users\Names\{Accounts}
확인 가능 정보: 사용자 최종 로그인 시간, RID(SID 식별 값), 로그인 계정 이름, 계정 전체 이름 정보
각 사용자의 계정 정보는 Users의 하위 키(RID)에 저장되며, Names 키 이하의 동일한 순서에 이름 키 값을 쌍(파란색)으로 갖는다.
| V Field | F Field |
| 최종 로그인 시각 (Offset 8 -15) | 로그인 계정 이름 |
| 패스워드 재설정 시각 (Offset 24 -31) | 계정 설명 |
| 계정 만료 시각 (Offset 32 -39) | 전체 이름 |
| 로그인 실패 시각 (Offset 40 -47) | LM 해쉬 |
| RID (SID의 마지막 식별 부분) | NT 해쉬 |
| 계정 상태 정보 | |
| 국가 코드 | |
| 로그인 실패 횟수 | |
| 로그인 성공 횟수 |
2. 사용자 프로필 목록 정보
경로: HKLM\SOFTWARE\Microsoft\WindowsNT\CurrnetVersion\ProfileList\{SID}
확인 가능 정보: 사용자 프로필 정보
아래에 확인된 SID 값을 대상으로 SID(Security Identifier) 값 해석 방법을 표로 정리해 두었다.
| Value | Info |
| S | SID 시그니처 |
| 1 | SID 버전 정보 |
| 5 | 권환 정보 |
| 21-4282454075-318807702-712275591 | 로컬 컴퓨터 식별 정보 |
| 1001 | 관리자 계정(500 이상), 사용자 계정(1000 이상) |
3. 마지막 로그인 사용자 정보
경로: HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\LastUsedUsername
확인 가능 정보: 마지막 로그인 사용자 계정 이름(LastUsedUsername) 정보
4. 사용자 별 시스템 경로 정보
경로: HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders
확인 가능 정보: 사용자 별 시스템 경로 정보(LastUsedUsername) 정보
다음 글
[Digital Forensic] Registry "Program & Network Information" Analysis
Reference
http://www.forensic-artifacts.com/registry-forensics/sub01
https://0xstn.medium.com/windows-forensics-1-thm-2fd8ea7ac41d