5) 표준 시간대 설정 정보
현재 PC에 설정되어있는 시간 정보를 확인한다.
TimeZoneKeyName은 시간대의 지역 정보이다.
PC의 날짜 시간과 같은 정보 인걸 확인 할수 있다.
6) 서비스 및 드라이버 목록
HKLM\SYSTEM\ControlSet001\Services
Service 아래 경로에 대한 정보가 나와있다.
Windows 서비스를 열어 보면 같은 목록을 확인 할 수 있다.
이런 서비스 목록은 악성코드 분석에 활용할 수 있다.
이 폴더에 Type에 따라 해당 레지스트리의 타입에 따라 변경 된다.
위와 같은 Type에 따라 변경된다.
7) 하드웨어 목록
KEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class
현재 시스템에 대한 하드웨어 정보들이다.
이 해당 내용은 장치관리자의 내용과 같다.
8) USB 접속 이력
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR
해당 이력을 확인하여 이전에 어떤 USB가 PC내 꽂혔는지와 어떤 시각에 꽂혔는지 알수있다.
9) 시작 페이지
HKEY_USERS\{USER}\Software\Microsoft\Internet Explorer\Main
USER 의 부분은 사용자 마다 다르다.
시작 페이지가 어떤 값으로 되어있는지 볼수 있다.
redirect Cache 는 검색엔진 설정이다.
10) 인터넷 사용 흔적
HKEY_USERS\{USER}\Software\Microsoft\Internet Explorer\TypedURLs
해당 경로는 직접 타이핑을 해서 이동한 페이지의 목록이 저장된다.
컴퓨터\{USER}\Software\Microsoft\Internet Explorer\TypedURLsTypedURLsTime
위 경로는 직접 타이핑해서 이동한 목록이 저장된 시간이 저장된다.
11) 원격 (RDP) 연결 정보
HKEY_USERS\{USER}\Software\Microsoft\Terminal Server Client\Default
해당 내용은 원격 데스크톱을 한번도 접속하지 않았다면 해당 경로가 "Terminal Server Client" 부터 생성되지 않는다.
MRU# 숫자가 적을수록 최근에 수행한 원격 데스크탑 연결 IP 이다.
12) 공유 폴더 목록
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\LanmanServer\Shares
위와 같이 공유된 폴더에 대한 정보를 보여준다
13) 최근 열람한 파일 목록
HKEY_USERS\{user}\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
RecentDoce 에는 모든 파일 목록이 표시되고 트리에는 각 확장자 별로 관리가 된다.
14) 검색 기록 (Windwos 검색)
HKEY_USERS\{USERS}\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery
폴더 검색을 했던 내용이 남는다.
해당 내용은 PC의 사용자가 어떤 내용을 검색 하려고 했는지 알 수 있다.
'대학공부 > 운영체제 포렌식' 카테고리의 다른 글
| 레지스트리 분석 1 (0) | 2020.03.28 |
|---|
댓글