[Kevin’s Attic for Security Research]
Windows Registry
Artifacts
kevinkoo001@gmail.com
DO NOT FORGET TO REMAIN THE ORIGINAL SOURCE WHEN YOU MAKE USE OF THIS MATERIAL OR (RE)DISTRIBUTE IT.
What to Cover
1. What is Registry?
2. Location and Components
3. Root Keys
4. Hive Structure
5. Windows Registry Artifacts
Basic System Information, Installed Software List, MRU List, USB Information,
Mounted Devices, Timezone information, Shared Resources, Mapped
Network Drives, Startup Services, Internet Explorer, Wireless SSIDs, Network
Interfaces, SAM, UserAssist (Application Usage), Shellbags, Explorer Searches,
RDP Connection Information, Hardware Information, Restore Point
Kevin’s Attic for Security Research
2
Windows Registry Artifacts
General Information
• What is registry?
 광활한 Microsoft Windows 운영체제 정보 저장소
 운영체제와 프로그램 구성 데이터의 계층형 데이터베이스 (Hierarchical Database in binary)
 Drawbacks: 단일 실패점 (SPoF, Single Point of Failure)
 Booting/Login Process, Service/Application Execution, User Activities, …
 “마지막 성공 구성 설정” 저장/복구 가능
 Windows 3.11 이후부터 사용
[References]
http://en.wikipedia.org/wiki/Windows_Registry
Digital Forensic
3
Windows Registry Artifacts
Location
• Location
 %SYSTEMROOT%\System32\Config\, %SYSTEMROOT%Document and Settings\[Account]
HKU
HKLM
[References]
Digital Forensic
4
Windows Registry Artifacts
Components
• Components (regedit.exe)
Value
Type
Data
Key
Subkey
[References]
Digital Forensic
5
Windows Registry Artifacts
Root Keys
• Registry Root Keys
 HKEY_CLASSES_ROOT: 파일과 COM(Component Object Model) 객체 등록 정보
 HKEY_CURRENT_USER: 시스템에 로그인한 사용자 Profile
 HKEY_LOCAL_MACHINE 시스템 하드웨어, 소프트웨어 설정과 환경 정보
 HKEY_USERS 시스템 모든 사용자와 그룹 Profile
 HKEY_CURRENT_CONFIG 시스템 시작에 사용되는 하드웨어 Profile
[References]
Digital Forensic
6
Windows Registry Artifacts
Root Keys
• Registry Root Keys
 Master Key: HKEY_LOCAL_MACHINE , HKEY_USERS
 Derived Key: HKEY_CLASSES_ROOT, HKEY_CURRENT_USER , HKEY_CURRENT_CONFIG
설명
Key
HKEY_CLASSES_ROOT
(HKCR)
HKLM\SOFTWARE\Classes와 HKU\<SID>\Classes Symbolic Link
Default Setting 과 개별 사용자 Setting 혼합
HKEY_CURRENT_USER
(HKCU)
HKEY_USERS 사용자 프로파일 Hive 하위 키 Symbolic link
Console 사용자 환경 구성
HKEY_LOCAL_MACHINE
(HKLM)
System Hive, Memory Hive 모음 (SYSTEM, SOFTWARE, SAM, SECURITY)
대부분의 computer setting 정보 보관, Master Key
HKEY_USERS
(HKU)
로그온 계정의 사용자 프로파일 hive를 담고 있는 장소 (NTUSER.DAT)
Console 사용자와 다른 사용자 환경 구성, 최소 3개 subkey (.DEFAULT, SID, SID_Classes)
HKEY_CURRENT_CONFIG
(HKCC)
현재 하드웨어 정보(Profile)를 가지고 있는 키 Symbolic link
(HKLM \SYSTEM\CurrentControlSet\Control\IDConfigDB\Hardware Profiles 하위)
HKEY_DYN_DATA
데이터 탐색 성능을 위한 장소이며 물리적 hive는 존재하지 않음
[References]
http://technet.microsoft.com/en-us/library/cc750583.aspx
Digital Forensic
7
Windows Registry Artifacts
•
Root Keys
• Registry Root Keys - HKCU
 HKCU: HKU 하위 Profile 중 현재 Login 사용자의 하위 키
Digital Forensic
8
Windows Registry Artifacts
Root Keys
• Registry Root Keys – HKCU Subkey
 HKCU Subkey Details















AppEvents: 사운드, 이벤트 관련
CLSID: COM 객체 연결 정보
Console: 명령 프롬프트 윈도우 설정 정보
ControlPanel: 데스크탑 테마, 키보드/마우스 환경 설정 정보
Environment: 환경 변수 정의
EUDC: 최종 사용자가 정의한 문자 정보
Identities: 윈도우 메일 계정 정보
Keyboard Layout: 키보드 레이아웃 설정 정보
Network: 네트워크 드라이브 매핑 정보, 환경 설정 값
Printers: 프린트 연결 설정
Session Information: 작업표시줄 표시 현재 실행 프로그램 설정
Software: 로그인한 사용자 소프트웨어 목록
System: HKLM/SYSTEM 하위키의 일부 (Control, Policies, Services)
UNICODE Program Groups: 로그인 사용자 시작 메뉴 그룹 정의
Volatile Environment: 휘발성 환경 변수
[References]
http://forensic-proof.com/archives/1515
Digital Forensic
9
Windows Registry Artifacts
•
Root Keys
• Registry Root Keys – HKLM
 HKLM: 시스템 전체 Hardware, Software 설정과 환경 정보
Digital Forensic
10
Windows Registry Artifacts
Root Keys
• Registry Root Keys – HKLM Subkey
 HKLM Subkey details
 BCD00000000
 Boot Configuration Data 관리 (Windows XP Boot.ini 대체)
 COMPONENTS
 설치된 Components와 관련된 정보 관리
 HARDWARE
 시스템 하드웨어 description
 모든 하드웨어의 장치 드라이버 mapping 정보 (Volatile)
 SAM
 로컬 계정 정보와 그룹 정보
 시스템 계정만 접근 가능
 SECURITY
 시스템 보안 정책과 권한 할당 정보
 시스템 계정만 접근 가능
 SOFTWARE
 시스템 부팅에 필요 없는 소프트웨어 정보
 SYSTEM
 시스템 부팅에 필요한 시스템 전역 구성 정보
[References]
http://forensic-proof.com/archives/1515
Digital Forensic
11
Windows Registry Artifacts
Root Keys
• Registry Root Keys – HKU
 HKU: 모든 사용자의 Profile과 사용자 Class 등록 정보
Key
HKU\<LocalServices SID>
Hive File Location
XP - %UserProfile%\LocalService\NTUSER.DAT
Vista/7 - %SystemRoot%\ServiceProfiles\LocalService\NTUSER.DAT
HKU\<NetworkServices SID> XP - %UserProfile%\NetworkService\NTUSER.DAT
Vista/7 - %SystemRoot%\ServiceProfiles\NetworkService\NTUSER.DAT
[References]
HKU\<User SID>
XP - %UserProfile%\<UserName>\NTUSER.DAT
Vista/7 - %UserProfile%\NTUSER.DAT
HKU\<User SID>_Classes
XP - %UserProfile%\<UserName>\Local Settings\Application
Data\Microsoft\Windows\UsrClass.dat
Vista/7 .%UserProfile%\AppData\Local\Microsoft\Windows\UsrClass.dat
HKU\.DEFAULT
%SystemRoot%\System32\Config\DEFAULT
http://forensic-proof.com/archives/1515
Digital Forensic
12
Windows Registry Artifacts
(Hive) Files
• Registry (Hive) Files
 6개의 물리적 파일과 2개의 휘발성 파일로 구성
Registry Path
File Path
HKLM\System
%WINDIR%system32\config\SYSTEM
HKLM\SAM
%WINDIR%system32\config\SAM
HKLM\Security
%WINDIR%system32\config\SECURITY
HKLM\Software
%WINDIR%system32\config\SOFTWARE
HKLM\Hardware
휘발성 Hive
HKLM\System\Clone
휘발성 Hive
HKEY_USERS\User SID
사용자 Profile (NTUSER.DAT)
"Document and Settings\User" (WinXP), "Users\User" (Vista 이후)
HKEY_USERS\Default
%WINDIR%system32\config\DEFAULT
[References]
http://kevin9life.blogspot.kr/2012/09/demystifying-registry-1.html
Digital Forensic
13
Windows Registry Artifacts
(Hive) Files
• Registry (Hive) Files
 HKLM\SYSTEM\CurrentControlSet\Control\hivelist
[References]
http://kevin9life.blogspot.kr/2012/09/demystifying-registry-1.html
Digital Forensic
14
Windows Registry Artifacts
Hive Structure
• Hive Structure (1/4)
Cell
Data Type
Key cell
키를 저장하고, 키 노드라고도 부름 (Signature: 키-kn, 심볼릭 링크-kl)
* 키가 최종 업데이트된 timestamp (LastWrite)
Value cell
키 값과 데이터를 저장하는 셀 (Signature : kv)
* 유형: REG_DWORD, REG_BINARY 등
Subkey-list cell
키 셀을 가리키는 일련의 인덱스로 구성
Value-list cell
값 셀을 가리키는 일련의 인덱스로 구성
Security-descriptor cell
보안 식별자를 가지고 있는 셀 (Signature: ks)
[References]
http://sentinelchicken.com/data/TheWindowsNTRegistryFileFormat.pdf
Digital Forensic
15
Windows Registry Artifacts
Hive Structure
• Hive Structure (2/4)
 Hive File은 Block (4,096Byte = 4KB) 단위로 Data를 저장함
 가장 처음은 Base Block (=Hive File Header, 4KB)와 Empty Bin (4KB)이 자리잡고 있음
 그 이후부터는 모두 Hive Bin이라는 연속적인 논리적 구조가 이어짐
[References]
http://technet.microsoft.com/en-us/library/cc750583.aspx
Digital Forensic
16
Windows Registry Artifacts
Hive Structure
• Hive Structure (3/4)
 Base Block (=Hive File Header, 4KB) 의 Signature는 regf임
[References]
http://forensic-proof.com/archives/1515
Digital Forensic
17
Windows Registry Artifacts
Hive Structure
• Hive Structure (4/4)
 Hive Bin(4KB) 의 Signature는 hbin임
 Timestamp는 LastWrite 시간이며 Registry Key의 생성/변경/접근/삭제 시 Update!
(Registry value의 LastWrite 시간은 알 수 없음)
[References]
http://forensic-proof.com/archives/1515
http://www.forensicfocus.com/downloads/windows-registry-quick-reference.pdf
Digital Forensic
18
Windows Registry Artifacts
Artifacts > System information
• Registry Artifacts at a glance
 Basic System Information
 Network Interfaces
 Installed Software List
 SAM
 MRU List
 UserAssist (Application Usage)
 USB Information
 Shellbags
 Mounted Devices
 Explorer Searches
 Timezone information
 RDP Connection Information
 Shared Resources
 Hardware Information
 Mapped Network Drives
 Restore Point
 Startup Services
 Many Other Application Artifacts…
 Internet Explorer
 Wireless SSIDs
[References]
Digital Forensic
19
Windows Registry Artifacts
Artifacts > System information
• Artifacts - System Information
 HIVE: SYSTEM, SOFTWARE
 Computer Name
HKLM\SYSTEM\ControlSet\Control\ComputerName\ComputerName
HKLM\SYSTEM\ControlSet00[#]\Control\ComputerName\ActiveComputerName
 Shutdown Time
HKLM\SYSTEM\ControlSet00[#]\Control\Windows
 System Information
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
[Lessons Learned or Notes]
ComputerName은 제어판 시스템 또는 cmd.exe에서 hostname 명령어를 통해 알 수 있다.
Digital Forensic
20
Windows Registry Artifacts
Artifacts > Installed Software
• Artifacts - Installed Software List
 HIVE: SOFTWARE
 Uninstall Information
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
[Lessons Learned or Notes]
Standalone Software의 경우 알 수 없다.
Digital Forensic
21
Windows Registry Artifacts
Artifacts > MRU Lists (Recent Accessed Items)
• Artifacts – MRU Lists in Windows (1/4)
 HIVE: NTUSER.DAT
 Recent Docs
NTUSER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
 많은 binary 정보로 구성, timeline을 만드는데 추가정보 제공, MRUListEx는 순서 유지
[References]
Digital Forensic
22
Windows Registry Artifacts
Artifacts > MRU Lists (Recent Accessed Items)
• Artifacts – MRU Lists in Windows (2/4)
 HIVE: NTUSER.DAT
 Recent Runs
NTUSER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
Digital Forensic
23
Windows Registry Artifacts
Artifacts > MRU Lists (Recent Accessed Items)
• Artifacts – MRU Lists in Applications (3/4)
 HIVE: NTUSER.DAT
 Adobe Acrobat Reader
NTUSER\Software\Adobe\Adobe Acrobat\[VER]\AVGeneral\cRecentFiles
 Office Documents
NTUSER\Software\Microsoft\Office\[VER]\{Word, Excel, Powerpoint}\File MRU
NTUSER\Software\Microsoft\Office\[VER]\{Word, Excel, Powerpoint}\Place MRU
 Wallpaper
NTUSER\Software\Microsoft\Windows\CurrentVersion\Explorer\Wallpaper\MRU
[Lessons Learned or Notes]
최근 실행문서나 바로가기(lnk)와 함께 참조해서 확인 필요
Digital Forensic
24
Windows Registry Artifacts
Artifacts > MRU Lists (Recent Accessed Items)
• Artifacts – MRU Lists in Applications (4/4)
 HIVE: NTUSER.DAT
 Wordpad
NTUSER\Software\Microsoft\Windows\CurrentVersion\Applets\wordpad\Recent File List
 버전별 한글
(2005) NTUSER\SOFTWARE\HNC\Hwp\6.5\RecentFile
(2007) NTUSER\SOFTWARE\HNC\Hwp\7.0\HwpFrame\RecentFile
(2010) NTUSER\SOFTWARE\HNC\Hwp\8.0\HwpFrame\RecentFile
 Media Player
NTUSER\Software\Microsoft\MediaPlayer\Player\RecentFileList
NTUSER\Software\Microsoft\MediaPlayer\Player\RecentURLList
[Lessons Learned or Notes]
최근 실행문서나 바로가기(lnk)와 함께 참조해서 확인 필요
Digital Forensic
25
Windows Registry Artifacts
Artifacts > USBs
• Artifacts – USB information* (1/7)
 HIVE: SYSTEM
 HKLM\SYSTEM\ControlSet\Enum\USBStor
 Device Class ID: Vendor 정보, 제품명, Revision number 표시
Disk&Ven_[vendor_info]&Prod_[product_name]&_Rev_[revision_num]
 Unique Instance ID: Device Class ID 하위 키로 Serial 정보 여부에 따라 두 가지로 분류
(1) Serial Number가 있을 경우: [Serial_Number]&#
(2) Serial Number가 없을 경우: #&[PnP_Generation_Number]&#
 USBStor 키의 경우 마지막 수정시간(Last Written Time)이 Windows 보안정책에 의해 임의 갱신될 수 있음
Digital Forensic
26
Windows Registry Artifacts
Artifacts > USBs
• Artifacts – USB information* (2/7)
 HIVE: SYSTEM
 HKLM\SYSTEM\ControlSet\Enum\USB
 제조사 ID, 제품 ID 표시
VID_[vendor_id]&PID_[product_id]
 USB 키의 경우 마지막 수정시간(Last Written Time)이 Windows 보안정책에 의해 임의 갱신될 수 있음
Digital Forensic
27
Windows Registry Artifacts
Artifacts > USBs
• Artifacts – USB information* (3/7)
 HIVE: SYSTEM
 Volume Name of each Connection
HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices
 하위 키는 Product Name 이나 Serial Number를 포함하고 있으므로 이 정보로 검색
 FriendlyName 값의 경우 장치명 설정이 존재하면 그 값을, 아닐 경우 연결 Volume명을 가짐
 Volume명의 경우 다른 장치를 꽂을 때 동일하게 할당할 수 있으므로 유의해야 함
Digital Forensic
28
Windows Registry Artifacts
Artifacts > USBs
• Artifacts – USB information* (4/7)
 HIVE: SYSTEM
 Booting 이후 최초 연결 시각 검색 (최종수정시간)
HKLM\SYSTEM\CurrentControlSet\Control\DeviceClasses\{GUID}
 (Disk)
{53f56307-b6bf-11d0-94f2-00a0c91efb8b}
 (Volume)
{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}
 (USB)
{a5dcbf10-6530-11d2-901f-00c04fb951ed}
 (Portable Device) {6ac27878-a6fa-4155-ba85-f98f491d4f33}
 하위 키는 Product Name 이나 Serial Number를 포함하고 있으므로 이 정보로 검색
Digital Forensic
29
Windows Registry Artifacts
Artifacts > USBs
• Artifacts – USB information* (5/7)
 HIVE: SYSTEM, NTUSER.DAT
 Booting 이후 마지막 연결 시각 검색 (최종수정시간)
HKU\[USER]\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoint2
HKLM\SYSTEM\ControlSetXXX\Enum\USB\VID_[vendor_id]&PID_[product_id]
 하위 키는 Product Name 이나 Serial Number를 포함하고 있으므로 이 정보로 검색
Digital Forensic
30
Windows Registry Artifacts
Artifacts > USBs
• Artifacts – USB information* (6/7)
 USBDView from Nirsoft
Digital Forensic
31
Windows Registry Artifacts
Artifacts > USBs
• Artifacts – USB information* (7/7)
 C:\windows\setup.api
[References]
Digital Forensic
32
Windows Registry Artifacts
Artifacts > Mounted Devices
• Artifacts – Mounted Devices
 HIVE: SYSTEM
 HKLM\SYSTEM\MountedDevices
 ParentIdPrefix 값을 이용해 USBSTOR과 MountedDevices 키의 상관관계를 알 수 있음
ParentIdPrefix
[References]
Digital Forensic
33
Windows Registry Artifacts
Artifacts > Timezone Information
• Artifacts – Timezone Information (1/2)
 HIVE: SYSTEM
 HKLM\SYSTEM\ControlSet\Control\TimeZoneInformation
 GMT(Greenwich Mean Time) & DST(Daylight Saving Time) Information
[References]
http://msdn.microsoft.com/en-us/library/ms725481.aspx
Digital Forensic
34
Windows Registry Artifacts
Artifacts > Timezone Information
• Artifacts – Timezone Information (2/2)
 HIVE: SYSTEM
 HKLM\SYSTEM\ControlSet\Control\TimeZoneInformation
Value Name
Data Type
Description
ActiveTimeBias
Bias
DaylightBias
32bit 정수
32bit 정수
32bit 정수
현재 시스템 시간 (GMT + 분 offset)
시간대 설정에 기반 (GMT + 분 offset)
시간대 설정에 기반 (일광절약제 적용, GMT + 분 offset)
DaylightName
Unicode Text String
시간대 설정 이름 (일광절약제 적용)
DaylightStart
Binary
(2Byte 구성, 이후 8Byte 무시)
일|월|주|시간
- 일: 2Byte, 일요일(0) 기준, 0-6
- 월: 2Byte, 1월(1) 기준, 1-12
- 주: 2Byte, 1주차(1) 기준, 1-52
- 시간: 24시간 기준, 1-24
StandardBias
32bit 정수
시간대 설정에 기반 (표준시간 적용, GMT + 분 offset)
SandardName
Unicode Text String
시간대 설정 이름 (표준시간 적용)
StandardStart
Binary
(4Byte 구성, 이후 8Byte 무시)
일|월|주|시간 (DaylightStart 참조)
예) 00 00 |0A 00 |05 00 |02 00
일요일 | 10월 | 5주차 | 2시
[References]
http://forensic-proof.com/archives/321
http://forensicinsight.org/wp-content/uploads/2012/10/INSIGHT-Digital-Times.pdf
Digital Forensic
35
Windows Registry Artifacts
Artifacts > Shared Resources
• Artifacts – Shared Resources
 HIVE: SYSTEM
 Network Shares
HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares
 Type=0 (Drive share), Type=1 (Print Queue share)
 Special Purpose Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
 공유폴더는 명령어 행에서 net share를 통해 알 수 있음
 AutoShareServer: 숨김 관리 공유 생성 기능 제거
[References]
http://support.microsoft.com/kb/288164
Digital Forensic
36
Windows Registry Artifacts
Artifacts > Mapped Network Drive
• Artifacts – Mapped Network Drive
 HIVE: NTUSER.DAT
 Network Drive Connection (네트워크 드라이브 연결)
NTUSER\Software\Microsoft\Windows\CurrentVersion\Explorer\Map Network Drive MRU
 사용자가 시스템에 추가한 Volume
NTUSER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
[References]
Digital Forensic
37
Windows Registry Artifacts
Artifacts > Startup services
• Artifacts – Startup Services (1/3)
 HIVE: SOFTWARE
 Startup services in oder when a user login
1. HKLM\ SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
2. HKLM\ SOFTWARE\Microsoft\Windows\CurrentVersion\Ploicies\Explorer\Run
3. HKLM\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. HKCU\ SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Run
5. HKCU\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run
6. HKCU\ SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
 신규 사용자가 로그인할 때마다 1,3,5,6 분석 후 실행
 RunOnce 값 (1,6)이 별표(*)로 시작하면 안전모드에서도 실행
[References]
Digital Forensic
38
Windows Registry Artifacts
Artifacts > Startup services
• Artifacts – Startup Services (2/3)
 HIVE: SOFTWARE
 Startup services user activities
HKLM\SOFTWARE\Classes\exefile\shell\open\command
HKCR\exefile\shell\open\command
 일반적으로 위 경로에 기본값 "%1" %* 만 존재함 (ftype exefile 명령어로 확인 가능)
 악성코드 등에서 자주 사용하는 방식
1. HKCR\Wordpad.Document.[version]\shell\open\command (문서를 더블 클릭할 때마다 실행)
2. HKLM\SOFTWARE\Microsoft\Command Processor\AutoRun (cmd.exe를 실행할 때마다 실행)
3. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
(GUI Application이 시작될 때마다 DLL을 memory 내로 Load함)
4. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
(사용자 로그온/로그오프, 화면보호기 시작 등 이벤트에 외부기능을 차단하는 알림 )
[References]
Digital Forensic
39
Windows Registry Artifacts
Artifacts > Startup services
• Artifacts – Startup Services (3/3)
 HIVE: SYSTEM
 Startup services when system booting
HKLM\SYSTEM\CurrentControlSet\Services
 시스템 시작 후 현재 ControlSet 값을 결정하고 해당 설정을 시작함 (Start=0x02)
[References]
Digital Forensic
40
Windows Registry Artifacts
Artifacts > Startup services
• Artifacts –Startup Services with Autoruns from sysinternals
[References]
Digital Forensic
41
Windows Registry Artifacts
Artifacts > Startup services
• Artifacts –Startup Services with Autoruns from sysinternals
Logon
This entry results in scans of standard autostart locations such as the Startup folder for the curre
nt user and all users, the Run Registry keys, and standard application launch locations.
Explorer
Select this entry to see Explorer shell extensions, browser helper objects, explorer toolbars, activ
e setup executions, and shell execute hooks.
Internet Explorer
This entry shows Browser Helper Objects (BHO's), Internet Explorer toolbars and extensions.
Services
All Windows services configured to start automatically when the system boots.
Drivers
This displays all kernel-mode drivers registered on the system except those that are disabled.
Scheduled Tasks
Task scheduler tasks configured to start at boot or logon.
AppInit DLLs
This has Autoruns shows DLLs registered as application initialization DLLs.
Boot Execute
Native images (as opposed to Windows images) that run early during the boot process.
Image Hijacks
Image file execution options and command prompt autostarts.
Known DLLs
This reports the location of DLLs that Windows loads into applications that reference them.
Winlogon Notifications
Shows DLLs that register for Winlogon notification of logon events.
Winsock Providers
Shows registered Winsock protocols, including Winsock service providers.
LSA Providers
Shows registers Local Security Authority (LSA) authentication, notification and security packages.
Printer Monitor Drivers
Displays DLLs that load into the print spooling service.
Sidebar
Displays Windows Vista sidebar gadgets
Digital Forensic
42
Windows Registry Artifacts
Artifacts > Startup services
• Artifacts –Startup Services with Built-in system configuration utility
 msconfig
[References]
Digital Forensic
43
Windows Registry Artifacts
Artifacts > Internet Explorer
• Artifacts – Internet Explorer: Settings (1/4)
 HIVE: NTUSER.DAT
 Internet Explorer Start page, Search page, Toolbar 등 각종 세부 설정값 저장
NTUSER\Software\Microsoft\Internet Explorer\Main
Digital Forensic
44
Windows Registry Artifacts
Artifacts > Internet Explorer
• Artifacts – Internet Explorer: TypedURLs (2/4)
 HIVE: NTUSER.DAT
 Typed URLs in Internet Explorer (사용자가 직접 입력한 URL)
NTUSER\Software\Microsoft\Internet Explorer\TypedURLs
 Windows Shell 내부 열기, 다른 이름으로 저장 대화상자 (CommonDialog32)
NTUSER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU
NTUSER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU
[References]
Digital Forensic
45
Windows Registry Artifacts
Artifacts > Internet Explorer
• Artifacts – Internet Explorer: Download Directory (3/4)
 HIVE: NTUSER.DAT
 Download directory in Internet Explorer
NTUSER\Software\Microsoft\Internet Explorer\
[Lessons Learned or Notes]
http://forensicinsight.org/wp-content/uploads/2012/03/INSIGHT_Web-Browser-Forensics_Part1.pdf
http://forensicinsight.org/wp-content/uploads/2012/03/INSIGHT_Web-Browser-Forensics-Part-II.pdf
Digital Forensic
46
Windows Registry Artifacts
Artifacts > Internet Explorer
• Artifacts – Internet Explorer: Stored Data (4/4)
 HIVE: NTUSER.DAT
 (Form Data)
NTUSER\Software\Microsoft\Internet Explorer\IntelliForms\Storage1
 (Account Data)
NTUSER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2
Digital Forensic
47
Windows Registry Artifacts
Artifacts > Wireless SSIDs
• Artifacts – Wireless SSIDs
 HIVE: SOFTWARE
 Wireless Information
HKLM\SOFTWARE\Microsoft\WZCSVC\Parameters\Interfaces\[Interface Guid]
 Windows Vista 이후부터 아래 경로에 저장
c:\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\[Interface Guid]
암호화한 키를 xml 파일에 저장함
[References]
Digital Forensic
48
Windows Registry Artifacts
Artifacts > Network Information
• Artifacts – Network Interfaces (1/2)
 HIVE: SYSTEM, SOFTWARE
 Network Information
HKLM\SYSTEM\ControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}
 Network Cards
HKLM\Software\Microsoft\Windows NT\CurrentVersion\NetworkCards
 Network Configuration
HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}
 Network Interface
HKLM\SYSTEM\ControlSet00[n]\Services\Tcpip\Parameters\Interfaces
 MAC
HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}
[References]
Digital Forensic
49
Windows Registry Artifacts
Artifacts > Network Information
• Artifacts – Network Interfaces (2/2)
[References]
Digital Forensic
50
Windows Registry Artifacts
Artifacts > SAM (User Accounts)
• Artifacts – SAM (user accounts) (1/3)
 HIVE: SAM
 HKLM\SAM\SAM\Domains\Account\Users\[RIDs]
 HKLM\SAM\SAM\Domains\Account\Users\Names\[Accounts]
[Lessons Learned or Notes]
SAM 영역은 system 권한으로 실행해야 볼 수 있다. Sysinternals의 psexec를 이용하자. PsExec.exe -i -d –s c:\windows\regedit.exe
Digital Forensic
51
Windows Registry Artifacts
Artifacts > SAM (User Accounts)
• Artifacts – SAM (user accounts) (2/3)
 개별 사용자 계정정보는 {RID}의 F, V 값에 저장함
F value
•
•
•
•
•
•
•
•
•
최종 로그인 시각 [Offset 8-15]
패스워드 재설정 시각 [Offset 24-31]
계정 만료 시각 [Offset 32-39]
로그인 실패 시각 [Offset 40-47]
RID (SID의 마지막 식별부분)
계정 상태 정보 (활성 여부, 패스워드 설정 여부)
국가 코드 (국제 전화 코드)
로그인 실패 횟수
로그인 성공 횟수
V value
•
•
•
•
•
로그인 계정명
전체 이름
계정 설명
LM Hash
NT Hash
[References]
http://forensic-proof.com/archives/1515
Digital Forensic
52
Windows Registry Artifacts
Artifacts > SAM (User Accounts)
• Artifacts – SAM (user accounts) (3/3)
 HIVE: Software
 User Profile Lists
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\{SID}
[References]
Digital Forensic
53
Windows Registry Artifacts
Artifacts > UserAssist
• Artifacts – UserAssist (1/3)
 HIVE: SOFTWARE, NTUSER.DAT
 HCU\[USER]\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
 자주 사용하는 프로그램 바로가기, 시작 메뉴의 자주 사용하는 프로그램
 실행횟수, 마지막 실행 시간 기록
 ROT13 Encoding
Q:\Gbbyf\Zvfpryynarbhf\GvzrYbeq\Nccyvpngvba Svyrf\GvzrYbeq_0_1_5_6\GvzrYbeq.rkr
D:\Tools\Miscellaneous\TimeLord\Application Files\TimeLord_0_1_5_6\TimeLord.exe
[References]
http://rot13-encoder-decoder.waraxe.us/
http://commons.wikimedia.org/wiki/File:ROT13.png
Digital Forensic
54
Windows Registry Artifacts
Artifacts > UserAssist
• Artifacts – UserAssist (2/3)
 HCU\[USER]\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
 Windows 2000/XP/Vista
{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count
{75048700-EF1F-11D0-9888-006097DEACF9}\Count
 Data Format in Windows 2000/XP/Vista
0-3: Session #
4-7: Application 실행 횟수 (기본값: 5)
8-15: 마지막 실행시간
Digital Forensic
55
Windows Registry Artifacts
Artifacts > UserAssist
• Artifacts – UserAssist (3/3)
 HCU\[USER]\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
 Windows 7
{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count
{F4E57C4B-2036-45F0-A9AB-443BCFE33D9F}\Count
 Data Format in Windows 7
0-3: Session #
4-7: Application 실행 횟수
(기본값 Application에 따라 다름)
60-67: 마지막 실행시간
Digital Forensic
56
Windows Registry Artifacts
Artifacts > Shellbags
• Artifacts – Shellbags
 HIVE: NTUSER.DAT
 HKCU\Software\Microsoft\Windows\ShellNoRoam
 HKCU\Software\Microsoft\Windows\Shell
 HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell (Windows Vista or higher)
[References]
Digital Forensic
57
Windows Registry Artifacts
Artifacts > Windows Searches
• Artifacts – Windows Searches (1/2)
 HIVE: NTUSER.DAT
 (WinXP) HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\[????]
Number
Digital Forensic
Meaning
5001
인터넷 검색
5603
모든 파일 및 폴더 검색
5604
문서에 들어있는 단어 또는
문장, 그림/음악/비디오 검색
5647
컴퓨터 또는 사람 검색
58
Windows Registry Artifacts
Artifacts > Windows Searches
• Artifacts – Windows Searches (2/2)
 HIVE: NTUSER.DAT
 (Win7) HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery
 Windows XP는 낮은 순번이 최근 검색인 반면
Windows 7의 경우 MRUListEx에서 사용 순서를 저장함
(Windows Vista는 검색어 목록을 registry에 담고 있지 않음)
Digital Forensic
59
Windows Registry Artifacts
Artifacts > RDP Connection
• Artifacts – RDP Connection
 HIVE: NTUSER.DAT
 HKU\{USER}\SOFTWARE\Microsoft\Terminal Server Client\Default
 HKU\{USER}\SOFTWARE\Microsoft\Terminal Server Client\Servers
 낮은 숫자가 최근 기록임
Digital Forensic
60
Windows Registry Artifacts
Artifacts > Hardware Information
• Artifacts – Hardware Information
 HIVE: SYSTEM
 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
Digital Forensic
61
Windows Registry Artifacts
Artifacts > Restore Points
• Artifacts – Restore Points
 HIVE: Software
 HKLM\SYSTEM\ControlSet00[#]\Control\Class
 HKLM\SYSTEM\ControlSet00[#]\Enum
Digital Forensic
62
Kevin’s Attic for Security Research
63