본문 바로가기

[+] Forensic

Windows 8 Forensic Artifact - (5)

SYSTEM은 SAM과 마찬가지로 HKLM 루트키 밑에 하이브이다. 해당 하이브는 시스템 환경의 정보를 가지고 있으며 Windows가 부팅 된 후에 로드 되어 사용자의 환경을 설정 할 때 사용 된다. 해당 하이브에서 중요하게 봐야 할 부분은 CurrentControlSet 키 부분이다. 해당 키에는 많은 사용자 정보가 들어 있기 때문이다. Windows 8에서도 이전 버전들과 다르지 않게 대부분 동일한 정보를 CurrentControlSet에서 저장하고 있다.


 * 참고 : SYSTEM 하이브 파일은 %SystemRoot%\Windows\System321\config에 위치하고 있다.


 - HKLM\SYSTEM\Select : 해당 키는 부팅 환경에 대한 구별을 도와주는 키로 해당 키에서 주의깊게 봐야 할 Value들은 다음과 같다.


    1) Current : SYSTEM에는 여러가지 ControlSetXXX 이 존재하는데 어떤 ControlSet이 현재 부팅되어 있는 환경인지 그 정보를 제공하여 준다.

    2) Default : 기본적으로 부팅 되는 환경을 말한다.

    3) LastKnownGood : 최근에 성공적으로 부팅 된 환경을 말한다.


 - HKLM\SYSTEM\MountedDevices : 마운트 된 장치들 목록을 저장하고 있다.


 - HKLM\SYSTEM\%ControlSetXXX%\Control\BackupRestore : 백업에서 제외 되는 파일들의 목록을 저장하고 있다.


 - HKLM\SYSTEM\%ControlSetXXX%\Control\ComputerName : 해당 로컬 시스템의 이름을 저장하고 있다.


 - HKLM\SYSTEM\%ControlSetXXX%\Control\TimeZoneInformation\TimeZoneKeyName : 해당 로컬 시스템이 사용하고 있는 표준 시간대를 저장하고 있다.


 - HKLM\SYSTEM\%ControlSetXXX%\Control\Windows\ShutdownTime : 정상적으로 시스템을 종료한 최근 시간을 저장하고 있다. 시간 형식은 이전에 알아보았던 시간형식과 동일하다.


 - HKLM\SYSTEM\%ControlSetXXX%\Enum\SWD\PRINTENUM : 로컬 시스템과 연결 된 프린터 목록을 저장하고 있다.


 - HKLM\SYSTEM\%ControlSetXXX%\Enum\SWD\SensorsAndLocationEnum\HardWareID : 로컬시스템과 연결되어 있는 센서와 디바이스의 ID를 저장하고 있다. 해당 Value는 Windows 7부터 사용 되었으며, GPS등을 사용 할 수 있게끔 설정하는 Value이다.


 - HKLM\SYSTEM\%ControlSetXXX%\Enum\USBSTOR : 해당 키는 USB와 관련된 정보를 얻을 수 있는 키로 기업감사, 보안감사 등에서 아주 유용하게 이용 할 수 있는 키이다. 해당 키와 그 하위 키에서는 USB Name, Vender ID, Product ID, Revision Number, USB Serial Number, USB Plugin Time(이전 시간 형식과 동일), Hub&Port를 확인 할 수 있다. USB 정보의 구성은 이전 버전과 동일하므로 생략하도록 하겠다. 



'[+] Forensic' 카테고리의 다른 글

Anti Forensics  (4) 2012.07.20
Windows 8 Forensic Artifact - (6)  (0) 2012.07.02
Windows 8 Forensic Artifact - (5)  (0) 2012.07.01
Windows 8 Forensic Artifact - (4)  (0) 2012.06.30
Windows 8 Forensic Artifact - (3)  (0) 2012.06.29