Windows 8 Forensic Artifact - (4)

SAM은 HKLM(HKEY_LOCAL_MACHINE)의 하이브로 사용자 계정과 그룹에 관한 정보를 저장하고 있다. 로컬 계정의 정보를 가지고 있을 수도 있지만 침해 시스템이 Active Directory 환경에 가입되어 있는 도메인이라면 SAM 하이브는 도메인 사용자 계정과 그룹 정보를 가지고 있다. 이전 Windows 버전들과 마찬가지로 일반 관리자 권한으로는 접근이 불가능한 하이브이다. 시스템 계정 권한이 있어야만 접근이 가능하며, 지금까지 사용해 왔던 psExec 도구로는 시스템 권한을 얻지 못한다. 또 시스템에서 사용 중인 파일을 복사 할 수 있는 hobocopy와 같은 복사 도구도 아직 Windows 8을 지원하지 못한다. EnCase가 있다면 EnCase로 분석하는 것을 추천하며 만약 EnCase가 없다면 다음과 같은 방법을 이용해 레지스트리 파일을 추출하여 분석하길 권장한다.

 * 참고 : SAM 하이브 파일은 %SystemRoot%\Windows\System32\config 에 위치하고 있다.

[그림 1 - FTK Imager를 이용한 레지스트리 하이브 파일 획득]

이렇게 얻은 하이브 파일은 여러 레지스트리 Viewer로 분석을 할 수 있는데 대표적으로 Alien Registry Viewer가 있다.

[그림 2 - Alien Registry Viewer]

[그림 2]를 보면 정상적으로 파일을 불러와 기존의 트리 형태로 하이브를 구성해 주고 있는 것을 볼 수 있다. SAM에서는 사용자 계정 로그온과 관련된 시간 값이 가장 중요하다.

 - Domains\Account\Users\%userNumber%\F : 마지막 로그온 시간, 최근에 패스워드를 변경한 시간 등이 저장되어 있다. NTUSER.DAT과 마찬가지로 1601년 1월 1일 UTC 00:00:00 이후의 시간을 100나노초로 계산하여 저장한다. 해당 Value가 저장하고 있는 시간 값은 다음과 같다.

    1) 마지막 로그온 시간 : 오프셋 8~15, 8byte

    2) 마지막 패스워드 변경 시간 : 오프셋 24~31, 8byte

    3) 계정 만료 기간 : 오프셋 32~39, 8byte(설정되어 있지 않으면 FF FF FF FF)

    4) 마지막 로그온 실패 시간 : 오프셋 40~47, 8byte

 * 참고 : %userNumber%가 생소하게 느껴질 것이다. 각 사용자 계졍에 부여되는 번호로 [그림 3]처럼 매칭 방법으로 찾을 수도 있고 %userNumber%의 Value 중 V Value가 있는데 해당 Value의 데이터를 보면 사용자 계정이 명시되어 있어 이를 보고 찾을 수도 있다.

[그림 3 - %userNumber과 사용자 계정명]