수업을 정정해서 듣는 바람에 2주차 부터 시작
소프트웨어 다운로드가 필요하다.
Dcode : https://www.digital-detective.net/dcode/
: 시간 변환 소프트웨어
DCode™ | Digital Detective
DCode™ is a simple utility for converting the hex and integer values found by investigators during a forensic investigation into readable timestamps.
www.digital-detective.net
PxExec : https://docs.microsoft.com/en-us/sysinternals/downloads/psexec
: Sam 레이스트리 뷰잉 소프트웨어
PsExec - Windows Sysinternals
Execute processes on remote systems.
docs.microsoft.com
수업 내용 : 레스트스리 분석
1) 기본 시스템 정보 저장 위치
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
각 그림 1에서 보이는 정보가 아래와 같이 레지스트리에 입력되어 있다 .
InstallData 의 경우 운영체제를 설치한 시각을 볼수 있다.
더블 클릭 하면 이렇게 값을 볼수 있는데 이 내용을 계산기를 통해서 날짜값으로 확인해 볼수 있다
계산기를 프로그래머 모드로 변경하여 해당 값을 입력한다.
10진수로 보았을때 Unix TimeSet 처럼 보인다.
앞서 설치한 Dcode 를 통하여 우리가 보는 시간 TimeSet으로 표시 할 수 있다.
웹사이트를 통해서도 가능하니 일단 웹사이트로 해보자
https://www.epochconverter.com/
위 웹사이트를 접속하여 10진수 값을 넣고 변환을 해본다 .
10진수 값을 넣고 Timestamp to HumanData 를 변환한 시간 정보를 확인할 수 있다.
대한민국은 GMT 기준으로 +9 시간의 정보를 가지고 있으므로
Your Time zone 을 확인해 보면 2018.05.22 오후 11시에 진행을 했다는걸 알 수 있다.
이를 Dcode 를 통해서도 진행해 보자 .
Add Bias 에서 UTC 를 +9 시간으로 설정하고
Decode Format 을 unix : Numeric Value 로 선택한다.
해당 값을 10진수 숫자값을 시간 값으로 변경 할떄 사용하는 옵션이다.
Value to Decode에 숫자 값을 입력하고 Decode 를 선택한뒤 날짜를 확인해 본다.
웹사이트의 정보와 동일하게 표시됨을 알 수 있다.
분석 하다보면 이런 날짜 값이 사람이 편하게 볼수 없는 방식으로 되어있는 경우가 많은데
Dcode 를 통해서 확인이 가능하다.
InstallData 의 경우 unix DateTime 방식을 사용하고 있고
InstallTime 의 경우 Windwos DateTime 방식을 쓰고 있다 .
InstalTime 은 위와 같이 Format을 변경하여 확인하면 된다.
PC를 분석할때 Windows의 설치 시간이 매우 중요하다.
어떠한 사건으로 인하여 PC를 분석하였을때 분석을 통해
추출된 파일의 시간이 운영체제 시간보다 이전이라면
운영체제 재 설치를 통하여 파일을 볼수 없도록 조치 했다고 할수 있다.
이럴땐 운영체제 재설치 이전 정보를 복구하기 위하여 삭제된 파일을 포렌식 하여야 한다.
현재 Live 한 파일들은 별로 의미가 없어 질 수 있다.
SystemRoot 의 경우 Windows 버전이 설치되는 경로 위치다.
2) 컴퓨터 이름 정보
HKLM\SYSTEM\COSYSTEM\ControlSet001\Control\ComputerName
ActiveComputerName 을 선택하보면 현재 PC에 설정 되어있는 컴퓨터 명을 알 수 있다.
3) 시스템 최종 종료 시간
HKLM\\SYSTEM\ControlSet001\Control\Windows
ShutdownTime을 보면 마지막으로 종료한 시간을 알수 있는데
F0D556579EFCD501 이 값을 DCODE 에서 HEX VALUE - Little Endian 을 선택한다 .
Big Endina 과 Little Endian은 Byte 데이터 정렬 순서에 대한 내용인데
관련 내용은 여기를 참고 바란다.
Dcode를 통해 확인했을때 이러한 값이 나온다
4) 사용자 정보
HKLM\SAM\Domains\Account\Users\{RID}
SAM 영역은 관리자 권한으로 실행해야 확인이 가능하다 .
MicroSoft에서 지원해주는 PsExec 프로그램을 통하여 확인한다 .
커맨드 라인을 통하여 실행 해야 하기 떄문에 CMD 창을 관리자 권한으로 실행한다.
해당 프로그램이 있는 경로로 이동하여서 PSExec.exe 를 실행한다.
PsExec.exe -i -d -s c:\windows\regedit.exe
실행하면 동의 내용이 나오고 Agree를 선택하면 레지스트리 편집기가 열린다.
거기서 다시 SAM 경로로 들어가면 이전에 이전에 안보이던 내용이 나온다.
해당 정보에서 위와 같은 정보를 알수 있는데
최종 로그인 시각은 마지막으로 접속한 시간을 알 수 있다.
이중 V 값에는 로그인 계정 이름, 전체이름, 계정 설명, LM 해쉬, NT 해쉬 등이 표시 된다.
'대학공부 > 운영체제 포렌식' 카테고리의 다른 글
| 레지스트리 분석 2 (0) | 2020.03.28 |
|---|
댓글