레지스트리 포렌식 & 프리패치 포렌식

이번 포스팅에선 윈도우7 환경에서의 레지스트리 포렌식과 프리패치 포렌식 방법에 대해 알아본다.

레지스트리 포렌식

 

레지스트리(Registry)란?

: 레지스트리란 윈도우계열 시스템에서 사용하는 시스템 구성 정보를 저장한 데이터베이스를 말한다. 프로세스의 종류, 기억장치의 용량, 응용 소프웨어에서 취급하는 파일 타입과 매개변수가 기록되어 있으며, 저장 매체의 사용 흔적, 최근 접속 문서, 응용프로그램 실행 등의 사용 흔적이 저장된다.

레지스트리 하이브(Registry hive)란?
: 레지스트리의 정보가 저장되어 있는 바이너리 형식의 파일을 말한다. 레지스트리는 휘발성 메모리이기 때문에 포렌식에 필요한 정보는 하이브 파일을 찾아 확인해야 하며 일반 계정의 사용자는 접근이 불가하다.

- 하이브 파일 위치

C:\windows\system32\config

참고) C:\Windows\System32\config\SAM : 윈도우의 비밀번호 저장 (리눅스는 /etc/shadow에 저장)
단, 부팅하면 SAM파일이 잠기게 되어 열어볼 수 없다. => 다른 운영체제(리눅스)로 부팅 후 SAM 파일 복사, 열람 가능

- 레지스트리 실행

실행 > regidit.exe

(가급적이면 가상 환경에서 실습진행 할 것)

 

시스템의 마지막 종료 시각

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows

디코더 => http://www.digital-detective.co.uk/freetools/decode.asp

 

인터넷 접속 기록

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs

Naver의 입력 기록을 확인할 수 있다.

 

---

프리패치 포렌식

프리패치(Prefetch)란?

: 윈도의 부팅(Boot Prefetch), 응용프로그램(Application petched)의 실행 정보들을 미리 메모리에 저장시켜 필요시 하드디스크가 아닌 메모리에서 읽어 실행 속도를 향상하는 기능이다. 프리패치 파일(. pf)을 통해 포렌식에서 응용 프로그램명과 실행 횟수, 마지막 실행 시각 그리고 참조 DLL 등과 같은 정보를 수집할 수 있다.

- 프리패치 파일 위치

C:\Windows\Prefetch (접근권한 설정 필요)

 

프리패치 분석 실습 (Window 7)

보조 프로그램 > 스티커 메모 > 'Prefetch test'입력

Prefetch파일 생성 확인

업데이트 된 Notepad pf파일 확인

헥사 에디터로 pf파일 분석을 수행할 수 있다.

---

파일 복구

 

손상된 파일은 우선 헥사 데이터로 읽어 들여 초기 앞부분을 구글에 검색한다.
예시) 'BC AF 27 1C 00 03 1E FA'

검색을 통해 손상된 파일은 7z압축파일이며, 전면 37 7A가 손실되었음을 알 수 있다.

참고) ZIP 파일 구조 from 구글 검색
- Header : 50 4B 03 04
- Central : 50 4B 01 02
- Footer : 50 4B 05 06

참고) 파일 시그니처 확인] http://forensic-proof.com/archives/300

파일 시그니처 모음 (Common File Signatures) | FORENSIC-PROOF

참고) PDF암호해독 프로그램 => APDFPR Pro

 

---

 

참고자료

 

 

레지스트리 - https://m.blog.naver.com/rbdi3222/220597850076

윈도우 ] 레지스트리란?

하이브 파일 - https://m.blog.naver.com/bitnang/70180095500

[포렌식] Windows 레지스트리 (Regedit.exe) 분석하기