STUDY.md
  • [ 보안(해킹) 공부🏳️/디지털 포렌식 ]
    [Forensics] 윈도우 시스템 아티팩트(Windows Artifacts) 실습
    2024년 08월 08일 00시 43분 43초에 업로드 된 글입니다.
    작성자: 방세연
     

     

    이번 게시글에서는 윈도우 포렌식 SKS! 스터디를 진행하면서 이해를 위해 진행해본 실습들을 담아볼 것이다.

     

    Windows Artifacts는 Windows의 사용자가 수행하는 활동들 (시스템에 의해 생성된 증거들)의 정보를 보유하고 있는 하나의 개체이다.

     

    Windows Artifacts는 생성증거로서 자동으로 프로세스, 시스템에서 생성되는 데이터이며, 자동으로 생성된 데이터를 직접 추적해 사용자의 행위들을 분석하는 포렌식을 진행해볼 수 있다. 다양한 아티팩트의 분석은 디지털 포렌식에서 매우 중요한 역할을 하고있고, 사용자 행동 추적, 시스템 오류 분석과 같은 목적으로 사용할 수 있다.

     

    이번 글에서는 윈도운 시스템 아티팩트의 종류를 알아보고, 분석할 수 있는 포렌식 툴들을 소개해볼 예정이다.

    ✨윈도우 포렌식 관련 실습 / tryhackme 접속하기 : https://tryhackme.com/r/room/windowsforensics1

     

     

     

     

     

    레지스트리(Registry)

    - 레지스트리 편집기

    Windows 레지스트리는 시스템 설정, 응용 프로그램 설정을 저장하는 계층 데이터베이스라고 볼 수 있다.

    윈도우 시스템의 거의 대부분의 정보가 담겨 있기 때문에 레지스트리 분석은 매우 중요한 요소이다.

     

     

    레지스트리 항목은 실행창에 regedit.exe 입력을 통해 확인할 수 있다.

    레지스트리 편집기 창에 들어가면 주요 레지스트리 아티팩트를 확인할 수 있다.

     

    레지스트리 편집기는 여러 개의 Key로 구성되어 있다.

    Key는 Key와 Sub Key로 이루어져 있으며 계층형 구조로 나타난 사용자의 정보를 조회할 수 있다.

     

     

    Key나 Sub Key를 누르면 해당 Value, Type, Data를 확인할 수 있다.

     

     

    HKEY_CLASSES_ROOT (HKCR) - 파일 확장자 정보, COM 객체 등록 정보
HKEY_CURRENT_USER  (HKCU) - 현재 사용자 계정에 대한 설정 정보
HKEY_LOCAL_MACHINE (HKLM) - 시스템 수준의 설정을 포함하는 정보
HKEY_USERS (HKU) - 시스템 모든 사용자, 그룹에 대한 profile 정보
HKEY_CURRENT_CONFIG (HKCC) - 시스템 시작 시 사용되는 하드웨어 profile 정보

======그밖의 주요 레지스트리 아티팩트======
RecentDocs - 최근에 열어본 문서의 목록
Run 키 - 시스템 시작 시 자동으로 실행되는 프로그램 목록

     

    HKEY ...로 시작하는 총 5개의 Key들을 Root Key라고 칭하고 있다.

    HKEY_LOCAL_MACHINE은 포렌식 분석에 많이 사용되는 하위 키 중 하나이다.

     

     

     

    다음은 레지스트리에서 볼 수 있는 정보의 계층 위치를 담은 내용이다.

    ==============기본 시스템 정보==============
[Timezone]
HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation

[Systeminfo]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName

[Windows Ver]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

[User Account]
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

[시스템 환경 변수]
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment
    ==============네트워크 보안==============
[네트워크 어댑터 정보]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces

[방화벽 설정]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy\StandardProfile

[로그인 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    ==============소프트웨어 정보==============
[설치된 소프트웨어 목록]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

[exe 실행 흔적]
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
인코딩 값 확인 => https://rot13.com/

[접근 폴더 정보]
HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags
HKCU\Software\Classes\Local
Settings\Software\Microsoft\Windows\Shell\BagMRU
HKCU\Software\Microsoft\Windows\Shell\Bags
HKCU\Software\Microsoft\Windows\Shell\BagMRU
    ==============하드웨어 정보==============
[장치 드라이버]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

[USB 장치 기록]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

     

     

    해당 정보와 레지스트리 편집기의 정보는 서로 일치한다.

     

     

     

     

     

    - Registry Explorer

    찾아보니 전세계에서 가장 많이 사용하는 레지스트리 툴인 것 같다.

     

    그 밖에도 RegRipper, REGA, X-ways, Registry, RECmd 등의 툴이 있다.

    이벤트로그 (EventLog)

    Event Logs는 시스템, 보안 및 응용 프로그램 이벤트 정보를 담고있는 Log이다.

     

    Application Log 응용 프로그램 관련 이벤트 정보가 기록되어있는 log
    System Log 시스템과 관련된 이벤트 정보가 기록되어있는 log
    Security Log 로그인/ 로그아웃 및 기타 보안 정보가 기록되어있는 log

     

     

    링크파일 (LNK File)

    링크파일은 Windows의 특정 파일, 바로가기 경로를 저장하는 파일로서

    [파일 경로, 파일 생성 및 수정 시간, 파일 아이콘 및 속성] 과 같은 기능들의 정보를 제공한다.

     

    링크파일은 LNK 확장자를 가지고 있다.

    윈도우 설치시에 LNK 파일 생성이 기본 옵션으로 활성화되어있어 포렌식 분석에서 중요한 증거자료가 될 수 있다.

     

     

    Signature (4 bytes) : 4C 00 00 00

    CLSID (16 bytes) : 00021401-0000-0000-C000-000000000046

     

     

    ==============바탕 화면==============
C:\Users\사용자\Desktop

==============시작 메뉴==============
C:\Users\사용자\AppData\Roaming\Microsoft\Windows\Start Menu
C:\Users\사용자\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
C:\Users\사용자\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

==============최근 항목==============
C:\Users\사용자\AppData\Roaming\Microsoft\Windows\Recent

==============공용 바로가기==============
C:\Users\Public\Desktop

C:\ProgramData\Microsoft\Windows\Start Menu
C:\ProgramData\Microsoft\Windows\Start Menu\Programs
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

==============퀵 액세스==============
C:\Users\사용자이름\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch

==============Pin된 항목==============
C:\Users\사용자\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned
C:\Users\사용자\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar
C:\Users\사용자\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu

     

     

    LNK 파일의 구조

    1. Header (16 bytes)
Signature (4 bytes): 항상 4C 00 00 00 (LNK 파일 식별자)
CLSID (16 bytes): 항상 00021401-0000-0000-C000-000000000046 (고유 식별자)

2. LinkFlags (4 bytes)
링크 파일의 특성을 나타내는 플래그 비트

3. FileAttributes (4 bytes)
링크된 대상 파일/디렉터리의 속성 (예: 읽기 전용, 숨김 등)

4. Timestamps (24 bytes)
CreationTime (8 bytes): 생성 시간
AccessTime (8 bytes): 마지막 접근 시간
WriteTime (8 bytes): 마지막 수정 시간

5. FileSize (4 bytes)
링크된 파일의 크기

6. IconIndex (4 bytes)
링크된 파일의 아이콘 인덱스

7. ShowCommand (4 bytes)
창의 초기 상태 (예: 최대화, 최소화 등)

8. HotKey (2 bytes)
링크된 파일을 실행하기 위한 핫키

9. Reserved (10 bytes)
예약된 공간

     

    < Shell Link Header >

     

     

    < Link Target / Link Info >

     

    < String Data >

     

     

    https://www.docguard.io/deep-dive-analysis-of-shell-link-lnk-binary-file-format-and-malicious-lnk-files/

     

    Deep Dive: Analysis of Shell Link (.lnk) Files - Docguard | Detect malwares in seconds!

    .lnk files, commonly known as shortcuts, allow a specific application to run. Usually, users can safely access these files on their computers and run them correctly. However, malicious actors have the potential to use these files to trick users into … Re

    www.docguard.io

    이곳에서 .lnk에 대한 더욱 자세한 내용을 확인할 수 있다.

     

     

    휴지통 (Recycle Bin)

    파일을 삭제했을 때 임시로 저장되는 디렉토리 (휴지통도 하나의 폴더)

    • 각 운영체제 별로 휴지통의 경로가 다르다!

    C:\ 디렉터리에 dir /a를 통해 $Recycle.Bin를 확인한다.

    메타데이터가 남아있어, 파일 복구가 가능하다.

     

    [경로]

    C:\Users\Bang Seyeon>

    cd : 파일의 경로 이동

dir : 파일의 정보 확인

dir /a : ( all )

     

     

    $Recycle.Bin으로 이동했다.

    cd ( s- ) … 를 통해 메타데이터 정보를 확인했다.

     

     

    FTK Imager로 [root] / $Recycle.Bin로 휴지통 아티팩트를 확인할 수 있다.

     

     

    인터넷 히스토리 (Internet History)

    인터넷 히스토리는 웹에서 방문한 사용자의 웹 사이트 기록을 확인할 수 있는 정보가 담겨있다.

    방문 URL, 방문 시간, cookie, 캐시 정보들이 인터넷 히스토리 데이터에 해당한다.

     

     

    윈도우 임시 파일 ( Temporary Files )

    응용 프로그램과 시스템 운영 중 생성되는 일시적인 데이터 파일을 '윈도우 임시 파일'이라고 칭한다.

    작업 중인 문서, 다운로드 중인 파일, 설치 프로그램 등 현재 진행 중인 일시 데이터가 이에 해당한다.

     

    최근 사용 문서 (Recent Documents)

    Windows는 사용자의 행동을 분석해 최근 열어본 문서 목록을 정립하고,

    '최근 사용 문서' 기능은 파일 탐색기나 시작 메뉴에서 이를 나타낼 수 있도록 한다.

     

    $MFT (Master File Table)

    NTFS 파일 시스템에서 모든 파일 및 디렉토리에 데한 메타 데이터는 $MFT라는 특수 파일에 저장된다.

    $MFT에는 파일 이름, 크기, 위치, 권한 등에 대한 정보가 담겨있다.

     

     

      댓글

    티스토리툴바