Window Forensic

1. Window Artifacts

- windows가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소 / windows의 사용자가 수행하는 활동에 대한 정보를 보유하고 있는 개체

<생성증거 : 프로세스, 시스템에서 자동으로 생성한 데이터  <- window artifacts는 여기에 속함

<보관증거 : 사람이 기록하여 작성한 데이터

 

Artifacts List

- 레지스트리

-$MFT, $Logfile, $UsnJrnl

- LNK

- JumpList

- Recycle Bin

- Prefetch & Cache(s)

- Timeline

- VSS

- 웹브라우저 아티팩트

- EventLogs

 

Windows Artifacts를 공부할 때 가장 중요한 점

1. 사용자의 행위에 따라 어디에 어떤 정보가 저장될까?

2. 컴퓨터는 대체 어떻게 동작하는 걸까?

-> 사용자는 컴퓨터로 무슨 일을 했을까?

 

2. Registry

윈도우 운영체제와 응용 프로그램 운영에 필요한 정보를 담고 있는 계층형 데이터베이스

- 운영체제 및 응용 프로그램의 설정 정보, 서비스의 중요 데이터 등 기록

- 부팅 과정부터 로그인, 서비스 실행, 응용프로그램 실행, 사용자 행위 등 모든 활동에 관여

 

윈도우 시스템의 모든 정보가 담겨있음

- 윈도우 시스템 분석의 필수 요소

 

Registry Information

- 시스템 표준 시간 (Time zone)

- 시스템 정보 (System info)

- 사용자 계정 정보

- 환경 변수 정보

- 자동 실행 프로그램

- 응용프로그램 실행 흔적 (UserAssist, OpenSavePidIMRU, LastVistedPidIMRU)

- USB 연결 흔적

- 접근한 폴더 정보 (Shellbag)

etc..

 

Registry Search

- 레지스트리 조회 및 편집 가능 (By regedit - 레지스트리 편집기)

window + s 관리자 권한 실행

3. Registry Practice