[+] Forensic 썸네일형 리스트형 Registry (3) 이번에는 HKEY_CURRENT_USER 루트키에 대해서 알아 볼 것이다. HKCU 루트키는 현재 로그온한 사용자의 정보를 서브키로 가지고 있는데 이 서브키들은 HKU 루트키에서 가져온 것들이다. [그림 1 - HKCU 서브키의 출처] 위 이미지를 보면 HKU의 서브키들 중 S1001 계정의 서브키들이 HKCU의 서브키와 동일 한 것을 볼 수 있다. 즉 현재 S1001 계정이 로컬에 로그온 되어 있다는 뜻이 된다. 각 서브키들이 어떠한 의미를 뜻하는지는 아래를 참조하자. [HKCU 서브키] - AppEvent : 이벤트와 사운드 사이의 연관 정보 - Console : 명령 프롬포트 설정 정보 - Control Panel : Sreen Saver, 데스크탑 테마, 키보드/마우스 등의 환경설정 정보 - En.. 더보기 Registry (2) 이전 글에서 레지스트리는 5개의 루트키와 각 루트키 아래에 서브키, 데이터들로 이루어져 있다는 것을 알아보았다. 이번에는 루트키 중 맨위에 위치하고 있는 HKEY_CLASSES_ROOT에 대해서 알아 볼 것이다. 이 루트키는 하위 서브키로 HKLM\SOFTWARE\Classes와 HKU\\Classes의 집합이라는 것을 저번글에서 언급하였다. 간단하게 확인을 해보면 아래와 같다. [그림 1 - HKCR 서브키 btapp] 위 이미지에서 보면 .btapp 라는 서브키가 보인다. 하지만 HKLM에서는 아래와 같디 .btapp 서브키가 보이지 않는다. [그림 2 - HKLM 서브키] 위 HKCR 서브키 중 bsc가 보이지만 btapp는 보이지 않는다. 이 btapp는 아래 이미지처럼 HKU에 있다. [그림 3.. 더보기 Registry (1) 윈도우 포렌식에서 메모리분석과 함께 제일 중요하게 여겨지고 있는 것은 레지스트리(Registry) 분석이다. 레지스트리란, 윈도우에서의 모든 정보가 저장되어 있는 데이터베이스이다. 레지스트리의 역사는 윈도우 3.1부터 시작되었으며, 시작은 .ini 파일처럼 단순한 구조로 시작되었다. 모든 정보가 저장되어 있는 만큼 포렌식 과정에서 얻고자 하는 정보도 들어있는 것은 분명하지만, 오늘날의 레지스트리는 복잡하고 양이 방대하여 섣불리 분석을 시도했다가는 분석한 시간에 비해 얻은 결과물은 초라할 것이다. 각 레지스트리가 어떠한 정보를 담고 있는지에 대해서 알아보도록 하자. 레지스트리를 공부하기 전에 알아둬야 할 용어들이 있는데 아래에 간단히 적어보도록 하겠다. 이 용어를 숙지한 후 레지스트리를 공부하게 된다면 조.. 더보기 Memory Analysis (8) * 여기서 사용하는 메모리 덤프는 2008 DRFWS RODEO에 나온 실습용 이미지(http://www.dfrws.org/2008/dfrws2008-rodeo.tar.gz)로 할 것이다. 이번에는 드디어 메모리 분석을 알아 볼 차례이다. 메모리 분석 툴은 요즘 너무 잘 나온 것들이 많아서 일반적으로 사용되는 Volitility와 Mandiant에서 만든 redline에 대해서 소개 할 것이다. 두 도구 모두 공개용 소프트웨어이기 때문에 더할나위 없이 좋다. 예전부터 메모리 분석은 조금씩 현장조사에서 사용되었지만 그 빈도나 성과물이 적어 빛을 발하지 못하였다. 가끔 메모리 덤프에서 string을 검색하여(만약 있다면) 사용자 아이디와 패스워드를 얻는 정도였다. 일단 Volatility를 알아보자. [Vo.. 더보기 Memory Analysis (7) 메모리 분석에서 제일 중요한 것은 프로세스를 찾는 것이다. 특히 루트킷에 의해서 숨겨진 프로세스를 찾는 것은 안티루트킷 도구들과 메모리 분석으로 할 수 있는데, 안티루트킷 도구를 사용하면 조사환경에 어떠한 영향을 주기 때문에 포렌식적으로는 메모리 분석보다 좋지 못한 방법이다.(아예 안좋다는 것은 아님) 메모리에서 프로세스를 찾기전에 프로세스가 어떻게 정보를 저장하고 어떻게 관리가 되는지부터 공부를 해야한다. 이러한 이유로 이번에는 윈도우에서 프로세스를 어떻게 관리하고 다루는지 알아 볼 것이다. 또 프로세스를 숨기는 방법 중 가장 대표적인 DKOM(Direct Kernel Object Manipulation)의 원리도 공부해 볼 것이다. 윈도우에서는 EPROCESS라는 구조체로 프로세스의 모든정보가 들어가.. 더보기 이전 1 ··· 29 30 31 32 33 34 35 36 다음
