[Kevin’s Attic for Security Research] Windows Registry Artifacts kevinkoo001@gmail.com DO NOT FORGET TO REMAIN THE ORIGINAL SOURCE WHEN YOU MAKE USE OF THIS MATERIAL OR (RE)DISTRIBUTE IT. What to Cover 1. What is Registry? 2. Location and Components 3. Root Keys 4. Hive Structure 5. Windows Registry Artifacts Basic System Information, Installed Software List, MRU List, USB Information, Mounted Devices, Timezone information, Shared Resources, Mapped Network Drives, Startup Services, Internet Explorer, Wireless SSIDs, Network Interfaces, SAM, UserAssist (Application Usage), Shellbags, Explorer Searches, RDP Connection Information, Hardware Information, Restore Point Kevin’s Attic for Security Research 2 Windows Registry Artifacts General Information • What is registry? 광활한 Microsoft Windows 운영체제 정보 저장소 운영체제와 프로그램 구성 데이터의 계층형 데이터베이스 (Hierarchical Database in binary) Drawbacks: 단일 실패점 (SPoF, Single Point of Failure) Booting/Login Process, Service/Application Execution, User Activities, … “마지막 성공 구성 설정” 저장/복구 가능 Windows 3.11 이후부터 사용 [References] http://en.wikipedia.org/wiki/Windows_Registry Digital Forensic 3 Windows Registry Artifacts Location • Location %SYSTEMROOT%\System32\Config\, %SYSTEMROOT%Document and Settings\[Account] HKU HKLM [References] Digital Forensic 4 Windows Registry Artifacts Components • Components (regedit.exe) Value Type Data Key Subkey [References] Digital Forensic 5 Windows Registry Artifacts Root Keys • Registry Root Keys HKEY_CLASSES_ROOT: 파일과 COM(Component Object Model) 객체 등록 정보 HKEY_CURRENT_USER: 시스템에 로그인한 사용자 Profile HKEY_LOCAL_MACHINE 시스템 하드웨어, 소프트웨어 설정과 환경 정보 HKEY_USERS 시스템 모든 사용자와 그룹 Profile HKEY_CURRENT_CONFIG 시스템 시작에 사용되는 하드웨어 Profile [References] Digital Forensic 6 Windows Registry Artifacts Root Keys • Registry Root Keys Master Key: HKEY_LOCAL_MACHINE , HKEY_USERS Derived Key: HKEY_CLASSES_ROOT, HKEY_CURRENT_USER , HKEY_CURRENT_CONFIG 설명 Key HKEY_CLASSES_ROOT (HKCR) HKLM\SOFTWARE\Classes와 HKU\<SID>\Classes Symbolic Link Default Setting 과 개별 사용자 Setting 혼합 HKEY_CURRENT_USER (HKCU) HKEY_USERS 사용자 프로파일 Hive 하위 키 Symbolic link Console 사용자 환경 구성 HKEY_LOCAL_MACHINE (HKLM) System Hive, Memory Hive 모음 (SYSTEM, SOFTWARE, SAM, SECURITY) 대부분의 computer setting 정보 보관, Master Key HKEY_USERS (HKU) 로그온 계정의 사용자 프로파일 hive를 담고 있는 장소 (NTUSER.DAT) Console 사용자와 다른 사용자 환경 구성, 최소 3개 subkey (.DEFAULT, SID, SID_Classes) HKEY_CURRENT_CONFIG (HKCC) 현재 하드웨어 정보(Profile)를 가지고 있는 키 Symbolic link (HKLM \SYSTEM\CurrentControlSet\Control\IDConfigDB\Hardware Profiles 하위) HKEY_DYN_DATA 데이터 탐색 성능을 위한 장소이며 물리적 hive는 존재하지 않음 [References] http://technet.microsoft.com/en-us/library/cc750583.aspx Digital Forensic 7 Windows Registry Artifacts • Root Keys • Registry Root Keys - HKCU HKCU: HKU 하위 Profile 중 현재 Login 사용자의 하위 키 Digital Forensic 8 Windows Registry Artifacts Root Keys • Registry Root Keys – HKCU Subkey HKCU Subkey Details AppEvents: 사운드, 이벤트 관련 CLSID: COM 객체 연결 정보 Console: 명령 프롬프트 윈도우 설정 정보 ControlPanel: 데스크탑 테마, 키보드/마우스 환경 설정 정보 Environment: 환경 변수 정의 EUDC: 최종 사용자가 정의한 문자 정보 Identities: 윈도우 메일 계정 정보 Keyboard Layout: 키보드 레이아웃 설정 정보 Network: 네트워크 드라이브 매핑 정보, 환경 설정 값 Printers: 프린트 연결 설정 Session Information: 작업표시줄 표시 현재 실행 프로그램 설정 Software: 로그인한 사용자 소프트웨어 목록 System: HKLM/SYSTEM 하위키의 일부 (Control, Policies, Services) UNICODE Program Groups: 로그인 사용자 시작 메뉴 그룹 정의 Volatile Environment: 휘발성 환경 변수 [References] http://forensic-proof.com/archives/1515 Digital Forensic 9 Windows Registry Artifacts • Root Keys • Registry Root Keys – HKLM HKLM: 시스템 전체 Hardware, Software 설정과 환경 정보 Digital Forensic 10 Windows Registry Artifacts Root Keys • Registry Root Keys – HKLM Subkey HKLM Subkey details BCD00000000 Boot Configuration Data 관리 (Windows XP Boot.ini 대체) COMPONENTS 설치된 Components와 관련된 정보 관리 HARDWARE 시스템 하드웨어 description 모든 하드웨어의 장치 드라이버 mapping 정보 (Volatile) SAM 로컬 계정 정보와 그룹 정보 시스템 계정만 접근 가능 SECURITY 시스템 보안 정책과 권한 할당 정보 시스템 계정만 접근 가능 SOFTWARE 시스템 부팅에 필요 없는 소프트웨어 정보 SYSTEM 시스템 부팅에 필요한 시스템 전역 구성 정보 [References] http://forensic-proof.com/archives/1515 Digital Forensic 11 Windows Registry Artifacts Root Keys • Registry Root Keys – HKU HKU: 모든 사용자의 Profile과 사용자 Class 등록 정보 Key HKU\<LocalServices SID> Hive File Location XP - %UserProfile%\LocalService\NTUSER.DAT Vista/7 - %SystemRoot%\ServiceProfiles\LocalService\NTUSER.DAT HKU\<NetworkServices SID> XP - %UserProfile%\NetworkService\NTUSER.DAT Vista/7 - %SystemRoot%\ServiceProfiles\NetworkService\NTUSER.DAT [References] HKU\<User SID> XP - %UserProfile%\<UserName>\NTUSER.DAT Vista/7 - %UserProfile%\NTUSER.DAT HKU\<User SID>_Classes XP - %UserProfile%\<UserName>\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Vista/7 .%UserProfile%\AppData\Local\Microsoft\Windows\UsrClass.dat HKU\.DEFAULT %SystemRoot%\System32\Config\DEFAULT http://forensic-proof.com/archives/1515 Digital Forensic 12 Windows Registry Artifacts (Hive) Files • Registry (Hive) Files 6개의 물리적 파일과 2개의 휘발성 파일로 구성 Registry Path File Path HKLM\System %WINDIR%system32\config\SYSTEM HKLM\SAM %WINDIR%system32\config\SAM HKLM\Security %WINDIR%system32\config\SECURITY HKLM\Software %WINDIR%system32\config\SOFTWARE HKLM\Hardware 휘발성 Hive HKLM\System\Clone 휘발성 Hive HKEY_USERS\User SID 사용자 Profile (NTUSER.DAT) "Document and Settings\User" (WinXP), "Users\User" (Vista 이후) HKEY_USERS\Default %WINDIR%system32\config\DEFAULT [References] http://kevin9life.blogspot.kr/2012/09/demystifying-registry-1.html Digital Forensic 13 Windows Registry Artifacts (Hive) Files • Registry (Hive) Files HKLM\SYSTEM\CurrentControlSet\Control\hivelist [References] http://kevin9life.blogspot.kr/2012/09/demystifying-registry-1.html Digital Forensic 14 Windows Registry Artifacts Hive Structure • Hive Structure (1/4) Cell Data Type Key cell 키를 저장하고, 키 노드라고도 부름 (Signature: 키-kn, 심볼릭 링크-kl) * 키가 최종 업데이트된 timestamp (LastWrite) Value cell 키 값과 데이터를 저장하는 셀 (Signature : kv) * 유형: REG_DWORD, REG_BINARY 등 Subkey-list cell 키 셀을 가리키는 일련의 인덱스로 구성 Value-list cell 값 셀을 가리키는 일련의 인덱스로 구성 Security-descriptor cell 보안 식별자를 가지고 있는 셀 (Signature: ks) [References] http://sentinelchicken.com/data/TheWindowsNTRegistryFileFormat.pdf Digital Forensic 15 Windows Registry Artifacts Hive Structure • Hive Structure (2/4) Hive File은 Block (4,096Byte = 4KB) 단위로 Data를 저장함 가장 처음은 Base Block (=Hive File Header, 4KB)와 Empty Bin (4KB)이 자리잡고 있음 그 이후부터는 모두 Hive Bin이라는 연속적인 논리적 구조가 이어짐 [References] http://technet.microsoft.com/en-us/library/cc750583.aspx Digital Forensic 16 Windows Registry Artifacts Hive Structure • Hive Structure (3/4) Base Block (=Hive File Header, 4KB) 의 Signature는 regf임 [References] http://forensic-proof.com/archives/1515 Digital Forensic 17 Windows Registry Artifacts Hive Structure • Hive Structure (4/4) Hive Bin(4KB) 의 Signature는 hbin임 Timestamp는 LastWrite 시간이며 Registry Key의 생성/변경/접근/삭제 시 Update! (Registry value의 LastWrite 시간은 알 수 없음) [References] http://forensic-proof.com/archives/1515 http://www.forensicfocus.com/downloads/windows-registry-quick-reference.pdf Digital Forensic 18 Windows Registry Artifacts Artifacts > System information • Registry Artifacts at a glance Basic System Information Network Interfaces Installed Software List SAM MRU List UserAssist (Application Usage) USB Information Shellbags Mounted Devices Explorer Searches Timezone information RDP Connection Information Shared Resources Hardware Information Mapped Network Drives Restore Point Startup Services Many Other Application Artifacts… Internet Explorer Wireless SSIDs [References] Digital Forensic 19 Windows Registry Artifacts Artifacts > System information • Artifacts - System Information HIVE: SYSTEM, SOFTWARE Computer Name HKLM\SYSTEM\ControlSet\Control\ComputerName\ComputerName HKLM\SYSTEM\ControlSet00[#]\Control\ComputerName\ActiveComputerName Shutdown Time HKLM\SYSTEM\ControlSet00[#]\Control\Windows System Information HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion [Lessons Learned or Notes] ComputerName은 제어판 시스템 또는 cmd.exe에서 hostname 명령어를 통해 알 수 있다. Digital Forensic 20 Windows Registry Artifacts Artifacts > Installed Software • Artifacts - Installed Software List HIVE: SOFTWARE Uninstall Information HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall [Lessons Learned or Notes] Standalone Software의 경우 알 수 없다. Digital Forensic 21 Windows Registry Artifacts Artifacts > MRU Lists (Recent Accessed Items) • Artifacts – MRU Lists in Windows (1/4) HIVE: NTUSER.DAT Recent Docs NTUSER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs 많은 binary 정보로 구성, timeline을 만드는데 추가정보 제공, MRUListEx는 순서 유지 [References] Digital Forensic 22 Windows Registry Artifacts Artifacts > MRU Lists (Recent Accessed Items) • Artifacts – MRU Lists in Windows (2/4) HIVE: NTUSER.DAT Recent Runs NTUSER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU Digital Forensic 23 Windows Registry Artifacts Artifacts > MRU Lists (Recent Accessed Items) • Artifacts – MRU Lists in Applications (3/4) HIVE: NTUSER.DAT Adobe Acrobat Reader NTUSER\Software\Adobe\Adobe Acrobat\[VER]\AVGeneral\cRecentFiles Office Documents NTUSER\Software\Microsoft\Office\[VER]\{Word, Excel, Powerpoint}\File MRU NTUSER\Software\Microsoft\Office\[VER]\{Word, Excel, Powerpoint}\Place MRU Wallpaper NTUSER\Software\Microsoft\Windows\CurrentVersion\Explorer\Wallpaper\MRU [Lessons Learned or Notes] 최근 실행문서나 바로가기(lnk)와 함께 참조해서 확인 필요 Digital Forensic 24 Windows Registry Artifacts Artifacts > MRU Lists (Recent Accessed Items) • Artifacts – MRU Lists in Applications (4/4) HIVE: NTUSER.DAT Wordpad NTUSER\Software\Microsoft\Windows\CurrentVersion\Applets\wordpad\Recent File List 버전별 한글 (2005) NTUSER\SOFTWARE\HNC\Hwp\6.5\RecentFile (2007) NTUSER\SOFTWARE\HNC\Hwp\7.0\HwpFrame\RecentFile (2010) NTUSER\SOFTWARE\HNC\Hwp\8.0\HwpFrame\RecentFile Media Player NTUSER\Software\Microsoft\MediaPlayer\Player\RecentFileList NTUSER\Software\Microsoft\MediaPlayer\Player\RecentURLList [Lessons Learned or Notes] 최근 실행문서나 바로가기(lnk)와 함께 참조해서 확인 필요 Digital Forensic 25 Windows Registry Artifacts Artifacts > USBs • Artifacts – USB information* (1/7) HIVE: SYSTEM HKLM\SYSTEM\ControlSet\Enum\USBStor Device Class ID: Vendor 정보, 제품명, Revision number 표시 Disk&Ven_[vendor_info]&Prod_[product_name]&_Rev_[revision_num] Unique Instance ID: Device Class ID 하위 키로 Serial 정보 여부에 따라 두 가지로 분류 (1) Serial Number가 있을 경우: [Serial_Number]&# (2) Serial Number가 없을 경우: #&[PnP_Generation_Number]&# USBStor 키의 경우 마지막 수정시간(Last Written Time)이 Windows 보안정책에 의해 임의 갱신될 수 있음 Digital Forensic 26 Windows Registry Artifacts Artifacts > USBs • Artifacts – USB information* (2/7) HIVE: SYSTEM HKLM\SYSTEM\ControlSet\Enum\USB 제조사 ID, 제품 ID 표시 VID_[vendor_id]&PID_[product_id] USB 키의 경우 마지막 수정시간(Last Written Time)이 Windows 보안정책에 의해 임의 갱신될 수 있음 Digital Forensic 27 Windows Registry Artifacts Artifacts > USBs • Artifacts – USB information* (3/7) HIVE: SYSTEM Volume Name of each Connection HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices 하위 키는 Product Name 이나 Serial Number를 포함하고 있으므로 이 정보로 검색 FriendlyName 값의 경우 장치명 설정이 존재하면 그 값을, 아닐 경우 연결 Volume명을 가짐 Volume명의 경우 다른 장치를 꽂을 때 동일하게 할당할 수 있으므로 유의해야 함 Digital Forensic 28 Windows Registry Artifacts Artifacts > USBs • Artifacts – USB information* (4/7) HIVE: SYSTEM Booting 이후 최초 연결 시각 검색 (최종수정시간) HKLM\SYSTEM\CurrentControlSet\Control\DeviceClasses\{GUID} (Disk) {53f56307-b6bf-11d0-94f2-00a0c91efb8b} (Volume) {53f5630d-b6bf-11d0-94f2-00a0c91efb8b} (USB) {a5dcbf10-6530-11d2-901f-00c04fb951ed} (Portable Device) {6ac27878-a6fa-4155-ba85-f98f491d4f33} 하위 키는 Product Name 이나 Serial Number를 포함하고 있으므로 이 정보로 검색 Digital Forensic 29 Windows Registry Artifacts Artifacts > USBs • Artifacts – USB information* (5/7) HIVE: SYSTEM, NTUSER.DAT Booting 이후 마지막 연결 시각 검색 (최종수정시간) HKU\[USER]\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoint2 HKLM\SYSTEM\ControlSetXXX\Enum\USB\VID_[vendor_id]&PID_[product_id] 하위 키는 Product Name 이나 Serial Number를 포함하고 있으므로 이 정보로 검색 Digital Forensic 30 Windows Registry Artifacts Artifacts > USBs • Artifacts – USB information* (6/7) USBDView from Nirsoft Digital Forensic 31 Windows Registry Artifacts Artifacts > USBs • Artifacts – USB information* (7/7) C:\windows\setup.api [References] Digital Forensic 32 Windows Registry Artifacts Artifacts > Mounted Devices • Artifacts – Mounted Devices HIVE: SYSTEM HKLM\SYSTEM\MountedDevices ParentIdPrefix 값을 이용해 USBSTOR과 MountedDevices 키의 상관관계를 알 수 있음 ParentIdPrefix [References] Digital Forensic 33 Windows Registry Artifacts Artifacts > Timezone Information • Artifacts – Timezone Information (1/2) HIVE: SYSTEM HKLM\SYSTEM\ControlSet\Control\TimeZoneInformation GMT(Greenwich Mean Time) & DST(Daylight Saving Time) Information [References] http://msdn.microsoft.com/en-us/library/ms725481.aspx Digital Forensic 34 Windows Registry Artifacts Artifacts > Timezone Information • Artifacts – Timezone Information (2/2) HIVE: SYSTEM HKLM\SYSTEM\ControlSet\Control\TimeZoneInformation Value Name Data Type Description ActiveTimeBias Bias DaylightBias 32bit 정수 32bit 정수 32bit 정수 현재 시스템 시간 (GMT + 분 offset) 시간대 설정에 기반 (GMT + 분 offset) 시간대 설정에 기반 (일광절약제 적용, GMT + 분 offset) DaylightName Unicode Text String 시간대 설정 이름 (일광절약제 적용) DaylightStart Binary (2Byte 구성, 이후 8Byte 무시) 일|월|주|시간 - 일: 2Byte, 일요일(0) 기준, 0-6 - 월: 2Byte, 1월(1) 기준, 1-12 - 주: 2Byte, 1주차(1) 기준, 1-52 - 시간: 24시간 기준, 1-24 StandardBias 32bit 정수 시간대 설정에 기반 (표준시간 적용, GMT + 분 offset) SandardName Unicode Text String 시간대 설정 이름 (표준시간 적용) StandardStart Binary (4Byte 구성, 이후 8Byte 무시) 일|월|주|시간 (DaylightStart 참조) 예) 00 00 |0A 00 |05 00 |02 00 일요일 | 10월 | 5주차 | 2시 [References] http://forensic-proof.com/archives/321 http://forensicinsight.org/wp-content/uploads/2012/10/INSIGHT-Digital-Times.pdf Digital Forensic 35 Windows Registry Artifacts Artifacts > Shared Resources • Artifacts – Shared Resources HIVE: SYSTEM Network Shares HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares Type=0 (Drive share), Type=1 (Print Queue share) Special Purpose Parameters HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 공유폴더는 명령어 행에서 net share를 통해 알 수 있음 AutoShareServer: 숨김 관리 공유 생성 기능 제거 [References] http://support.microsoft.com/kb/288164 Digital Forensic 36 Windows Registry Artifacts Artifacts > Mapped Network Drive • Artifacts – Mapped Network Drive HIVE: NTUSER.DAT Network Drive Connection (네트워크 드라이브 연결) NTUSER\Software\Microsoft\Windows\CurrentVersion\Explorer\Map Network Drive MRU 사용자가 시스템에 추가한 Volume NTUSER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 [References] Digital Forensic 37 Windows Registry Artifacts Artifacts > Startup services • Artifacts – Startup Services (1/3) HIVE: SOFTWARE Startup services in oder when a user login 1. HKLM\ SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 2. HKLM\ SOFTWARE\Microsoft\Windows\CurrentVersion\Ploicies\Explorer\Run 3. HKLM\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run 4. HKCU\ SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Run 5. HKCU\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run 6. HKCU\ SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 신규 사용자가 로그인할 때마다 1,3,5,6 분석 후 실행 RunOnce 값 (1,6)이 별표(*)로 시작하면 안전모드에서도 실행 [References] Digital Forensic 38 Windows Registry Artifacts Artifacts > Startup services • Artifacts – Startup Services (2/3) HIVE: SOFTWARE Startup services user activities HKLM\SOFTWARE\Classes\exefile\shell\open\command HKCR\exefile\shell\open\command 일반적으로 위 경로에 기본값 "%1" %* 만 존재함 (ftype exefile 명령어로 확인 가능) 악성코드 등에서 자주 사용하는 방식 1. HKCR\Wordpad.Document.[version]\shell\open\command (문서를 더블 클릭할 때마다 실행) 2. HKLM\SOFTWARE\Microsoft\Command Processor\AutoRun (cmd.exe를 실행할 때마다 실행) 3. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (GUI Application이 시작될 때마다 DLL을 memory 내로 Load함) 4. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify (사용자 로그온/로그오프, 화면보호기 시작 등 이벤트에 외부기능을 차단하는 알림 ) [References] Digital Forensic 39 Windows Registry Artifacts Artifacts > Startup services • Artifacts – Startup Services (3/3) HIVE: SYSTEM Startup services when system booting HKLM\SYSTEM\CurrentControlSet\Services 시스템 시작 후 현재 ControlSet 값을 결정하고 해당 설정을 시작함 (Start=0x02) [References] Digital Forensic 40 Windows Registry Artifacts Artifacts > Startup services • Artifacts –Startup Services with Autoruns from sysinternals [References] Digital Forensic 41 Windows Registry Artifacts Artifacts > Startup services • Artifacts –Startup Services with Autoruns from sysinternals Logon This entry results in scans of standard autostart locations such as the Startup folder for the curre nt user and all users, the Run Registry keys, and standard application launch locations. Explorer Select this entry to see Explorer shell extensions, browser helper objects, explorer toolbars, activ e setup executions, and shell execute hooks. Internet Explorer This entry shows Browser Helper Objects (BHO's), Internet Explorer toolbars and extensions. Services All Windows services configured to start automatically when the system boots. Drivers This displays all kernel-mode drivers registered on the system except those that are disabled. Scheduled Tasks Task scheduler tasks configured to start at boot or logon. AppInit DLLs This has Autoruns shows DLLs registered as application initialization DLLs. Boot Execute Native images (as opposed to Windows images) that run early during the boot process. Image Hijacks Image file execution options and command prompt autostarts. Known DLLs This reports the location of DLLs that Windows loads into applications that reference them. Winlogon Notifications Shows DLLs that register for Winlogon notification of logon events. Winsock Providers Shows registered Winsock protocols, including Winsock service providers. LSA Providers Shows registers Local Security Authority (LSA) authentication, notification and security packages. Printer Monitor Drivers Displays DLLs that load into the print spooling service. Sidebar Displays Windows Vista sidebar gadgets Digital Forensic 42 Windows Registry Artifacts Artifacts > Startup services • Artifacts –Startup Services with Built-in system configuration utility msconfig [References] Digital Forensic 43 Windows Registry Artifacts Artifacts > Internet Explorer • Artifacts – Internet Explorer: Settings (1/4) HIVE: NTUSER.DAT Internet Explorer Start page, Search page, Toolbar 등 각종 세부 설정값 저장 NTUSER\Software\Microsoft\Internet Explorer\Main Digital Forensic 44 Windows Registry Artifacts Artifacts > Internet Explorer • Artifacts – Internet Explorer: TypedURLs (2/4) HIVE: NTUSER.DAT Typed URLs in Internet Explorer (사용자가 직접 입력한 URL) NTUSER\Software\Microsoft\Internet Explorer\TypedURLs Windows Shell 내부 열기, 다른 이름으로 저장 대화상자 (CommonDialog32) NTUSER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU NTUSER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU [References] Digital Forensic 45 Windows Registry Artifacts Artifacts > Internet Explorer • Artifacts – Internet Explorer: Download Directory (3/4) HIVE: NTUSER.DAT Download directory in Internet Explorer NTUSER\Software\Microsoft\Internet Explorer\ [Lessons Learned or Notes] http://forensicinsight.org/wp-content/uploads/2012/03/INSIGHT_Web-Browser-Forensics_Part1.pdf http://forensicinsight.org/wp-content/uploads/2012/03/INSIGHT_Web-Browser-Forensics-Part-II.pdf Digital Forensic 46 Windows Registry Artifacts Artifacts > Internet Explorer • Artifacts – Internet Explorer: Stored Data (4/4) HIVE: NTUSER.DAT (Form Data) NTUSER\Software\Microsoft\Internet Explorer\IntelliForms\Storage1 (Account Data) NTUSER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2 Digital Forensic 47 Windows Registry Artifacts Artifacts > Wireless SSIDs • Artifacts – Wireless SSIDs HIVE: SOFTWARE Wireless Information HKLM\SOFTWARE\Microsoft\WZCSVC\Parameters\Interfaces\[Interface Guid] Windows Vista 이후부터 아래 경로에 저장 c:\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\[Interface Guid] 암호화한 키를 xml 파일에 저장함 [References] Digital Forensic 48 Windows Registry Artifacts Artifacts > Network Information • Artifacts – Network Interfaces (1/2) HIVE: SYSTEM, SOFTWARE Network Information HKLM\SYSTEM\ControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318} Network Cards HKLM\Software\Microsoft\Windows NT\CurrentVersion\NetworkCards Network Configuration HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318} Network Interface HKLM\SYSTEM\ControlSet00[n]\Services\Tcpip\Parameters\Interfaces MAC HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318} [References] Digital Forensic 49 Windows Registry Artifacts Artifacts > Network Information • Artifacts – Network Interfaces (2/2) [References] Digital Forensic 50 Windows Registry Artifacts Artifacts > SAM (User Accounts) • Artifacts – SAM (user accounts) (1/3) HIVE: SAM HKLM\SAM\SAM\Domains\Account\Users\[RIDs] HKLM\SAM\SAM\Domains\Account\Users\Names\[Accounts] [Lessons Learned or Notes] SAM 영역은 system 권한으로 실행해야 볼 수 있다. Sysinternals의 psexec를 이용하자. PsExec.exe -i -d –s c:\windows\regedit.exe Digital Forensic 51 Windows Registry Artifacts Artifacts > SAM (User Accounts) • Artifacts – SAM (user accounts) (2/3) 개별 사용자 계정정보는 {RID}의 F, V 값에 저장함 F value • • • • • • • • • 최종 로그인 시각 [Offset 8-15] 패스워드 재설정 시각 [Offset 24-31] 계정 만료 시각 [Offset 32-39] 로그인 실패 시각 [Offset 40-47] RID (SID의 마지막 식별부분) 계정 상태 정보 (활성 여부, 패스워드 설정 여부) 국가 코드 (국제 전화 코드) 로그인 실패 횟수 로그인 성공 횟수 V value • • • • • 로그인 계정명 전체 이름 계정 설명 LM Hash NT Hash [References] http://forensic-proof.com/archives/1515 Digital Forensic 52 Windows Registry Artifacts Artifacts > SAM (User Accounts) • Artifacts – SAM (user accounts) (3/3) HIVE: Software User Profile Lists HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\{SID} [References] Digital Forensic 53 Windows Registry Artifacts Artifacts > UserAssist • Artifacts – UserAssist (1/3) HIVE: SOFTWARE, NTUSER.DAT HCU\[USER]\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist 자주 사용하는 프로그램 바로가기, 시작 메뉴의 자주 사용하는 프로그램 실행횟수, 마지막 실행 시간 기록 ROT13 Encoding Q:\Gbbyf\Zvfpryynarbhf\GvzrYbeq\Nccyvpngvba Svyrf\GvzrYbeq_0_1_5_6\GvzrYbeq.rkr D:\Tools\Miscellaneous\TimeLord\Application Files\TimeLord_0_1_5_6\TimeLord.exe [References] http://rot13-encoder-decoder.waraxe.us/ http://commons.wikimedia.org/wiki/File:ROT13.png Digital Forensic 54 Windows Registry Artifacts Artifacts > UserAssist • Artifacts – UserAssist (2/3) HCU\[USER]\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist Windows 2000/XP/Vista {5E6AB780-7743-11CF-A12B-00AA004AE837}\Count {75048700-EF1F-11D0-9888-006097DEACF9}\Count Data Format in Windows 2000/XP/Vista 0-3: Session # 4-7: Application 실행 횟수 (기본값: 5) 8-15: 마지막 실행시간 Digital Forensic 55 Windows Registry Artifacts Artifacts > UserAssist • Artifacts – UserAssist (3/3) HCU\[USER]\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist Windows 7 {CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count {F4E57C4B-2036-45F0-A9AB-443BCFE33D9F}\Count Data Format in Windows 7 0-3: Session # 4-7: Application 실행 횟수 (기본값 Application에 따라 다름) 60-67: 마지막 실행시간 Digital Forensic 56 Windows Registry Artifacts Artifacts > Shellbags • Artifacts – Shellbags HIVE: NTUSER.DAT HKCU\Software\Microsoft\Windows\ShellNoRoam HKCU\Software\Microsoft\Windows\Shell HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell (Windows Vista or higher) [References] Digital Forensic 57 Windows Registry Artifacts Artifacts > Windows Searches • Artifacts – Windows Searches (1/2) HIVE: NTUSER.DAT (WinXP) HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\[????] Number Digital Forensic Meaning 5001 인터넷 검색 5603 모든 파일 및 폴더 검색 5604 문서에 들어있는 단어 또는 문장, 그림/음악/비디오 검색 5647 컴퓨터 또는 사람 검색 58 Windows Registry Artifacts Artifacts > Windows Searches • Artifacts – Windows Searches (2/2) HIVE: NTUSER.DAT (Win7) HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery Windows XP는 낮은 순번이 최근 검색인 반면 Windows 7의 경우 MRUListEx에서 사용 순서를 저장함 (Windows Vista는 검색어 목록을 registry에 담고 있지 않음) Digital Forensic 59 Windows Registry Artifacts Artifacts > RDP Connection • Artifacts – RDP Connection HIVE: NTUSER.DAT HKU\{USER}\SOFTWARE\Microsoft\Terminal Server Client\Default HKU\{USER}\SOFTWARE\Microsoft\Terminal Server Client\Servers 낮은 숫자가 최근 기록임 Digital Forensic 60 Windows Registry Artifacts Artifacts > Hardware Information • Artifacts – Hardware Information HIVE: SYSTEM HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore Digital Forensic 61 Windows Registry Artifacts Artifacts > Restore Points • Artifacts – Restore Points HIVE: Software HKLM\SYSTEM\ControlSet00[#]\Control\Class HKLM\SYSTEM\ControlSet00[#]\Enum Digital Forensic 62 Kevin’s Attic for Security Research 63