본문 바로가기

[+] Forensic

Windows 8 Forensic Artifact - (3)

Windows 8에도 레지스트리가 존재하며 그 레지스트리에는 무수히 많은 정보가 기록된다. 이 많은 정보들 중 포렌식 관점에서 가치가 있는 정보는 소수에 불가하며 또 포렌식적 의미의 정보라고 단정지을수는 없다. 상황에 따라 또 다른 어떤 정보가 포렌식 관점에서의 가치 있는 정보가 될 수도 있고 아닐수도 있기 때문이다. 일단 사용자와 관련된 정보들이 레지스트리 어디에 저장되고 어떻게 저장되어 있는지 살펴보도록 하자.


[HKEY_USERS]

해당 루트키는 하이브, 즉 파일로 디스크상에 존재하는 레지스트리 루트키로 %SystemRoot%\Users\%username%\NTUSER.DAT에 존재한다. NTUSER.DAT은 사용자 별로 존재하기 때문에 로컬 시스템에 여러 사용자 계정이 있다면 각 사용자 별 NTUSER.DAT 파일이 존재한다. 저장하고 있는 정보로는 사용자에 관한 정보들로 대표적으로 최근에 사용자가 접근했던 파일, 사용한 응용프로그램 등이 있다. Windows 8의 경우 사용했던 어플리케이션 정보도 저장되어 있는 루트키이다. 각 정보 별 레지스트리 경로는 다음과 같다.


 - HKEY_USERS\%userGUID%\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs : 최근에 접근했던 파일 목록이 저장되어 있다.


[그림 1 - 웹 사이트 URL 링크 파일]


[그림 1]을 보면 웹 사이트의 URL 링크 파일을 통해 해당 웹 사이트 URL에 접근 한 것을 볼 수 있다. 링크 파일로 접근 된 이유는 Windows 8에서 제공하는 앱에서 해당 웹 사이트 URL 링크를 클릭하여 링크 파일에 접근했기 때문이다.


 -  HKEY_USERS\%userGUID%\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU : 최근에 사용자가 열고 저장했던 파일 목록이 저장되어 있다.


[그림 2 - 확장자 별 목록화]


저장되어 있는 형태를 보면 모든 확장자를 포함하는 키부터 확장자 별로 키를 나누어 저장하고 있는 것을 볼 수 있다. 이전 Windows 버전에서는 볼 수 없었던 부분으로 사용자가 열어보았던 최근 문서 범주에서 조금 더 세밀하게 사용자의 행동을 파악 할 수 있는 아주 중요한 단서가 되는 레지스트리 키이다.


 - HKEY_USERS\%userGUID%\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU : 사용자가 가장 최근에 접근했던 폴더를 저장하고 있다. 


[그림 3 - 가장 최근에 접근했던 폴더 목록]


Value를 클릭 해 확인해보면 가장 최근에 접근했던 폴더의 절대경로를 확인 할 수 있다.


 - HKEY_USERS\%userGUID%\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\CIDSizeMRU : 사용자가 가장 최근에 사용했던 응용 프로그램을 저장하고 있다. Metro UI의 어플리케이션이 아닌 Desktop 환경의 응용 프로그램을 말한다.


 - HKEY_USERS\%userGUID%\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\FirstFolder : 사용자가 가장 최근에 사용한 앱과 사용자가 저장한 파일 목록이 저장되어 있다.


 -  HKEY_USERS\%userGUID%\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU : 사용자가 사용했던 응용 프로그램들의 목록이 저장되어 있다. 해당 키 역시 Metro UI의 앱이 아닌 Desktop 환경의 응용 프로그램을 말한다.


 - HKEY_USERS\%userGUID%\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts : 해당 사용자가 사용하는 파일의 확장자가 어떤 파일과 연결되어 있는지에 대해 확장자 별 맵핑 정보를 저장하고 있다.


 - HKEY_USERS\%userGUID%\Software\Microsoft\WindowsMedia\WMSDK\General : 로컬 컴퓨터의 이름과 볼륨 시리얼 넘버가 저장되어 있다.


[그림 4 - 로컬 컴퓨터 이름과 볼륨 정보]


 - HKEY_USERS\%userGUID%\Software\Microsoft\Internet Explorer\TypedURLs : 사용자가 IE를 통해 방문했던 웹사이트의 목록을 저장하고 있다. Metro UI의 IE와 Desktop의 IE 상관없이 모두 저장한다.


[그림 5 - 방문했던 웹사이트 목록]


 - HKEY_USERS\%userGUID%\Software\Microsoft\Internet Explorer\TypedURLsTime : 방문했던 웹사이트 목록에 대한 방문 시간을 저장하고 있다. TypedURLs 키의 Value 이름과 동일한 Value가 존재하고 동일한 Value끼리 맵핑 되어있다. 시간은 1601년 1월 1일 UTC 00:00:00 이후의 시간을 100나노초로 계산하여 저장한다.


[그림 6 - 시간 디코딩]

'[+] Forensic' 카테고리의 다른 글

Windows 8 Forensic Artifact - (5)  (0) 2012.07.01
Windows 8 Forensic Artifact - (4)  (0) 2012.06.30
Windows 8 Forensic Artifact - (3)  (0) 2012.06.29
Windows 8 Forensic Artifact - (2)  (0) 2012.06.28
Windows 8 Forensic Artifact - (1)  (0) 2012.06.27