레지스트리 분석 2

5) 표준 시간대 설정 정보

 

  현재 PC에 설정되어있는 시간 정보를 확인한다.

 

 

TimeZoneKeyName은 시간대의 지역 정보이다.

 

PC의 날짜 시간과 같은 정보 인걸 확인 할수 있다.

 

 

6) 서비스 및 드라이버 목록

HKLM\SYSTEM\ControlSet001\Services

Service 아래 경로에 대한 정보가 나와있다.

Windows 서비스를 열어 보면 같은 목록을 확인 할 수 있다.

이런 서비스 목록은 악성코드 분석에 활용할 수 있다.

 

이 폴더에 Type에 따라 해당 레지스트리의 타입에 따라 변경 된다.

 

 

서비스 드라이버 목록

커널 장치 드라이버

Windows 서비스

위와 같은 Type에 따라 변경된다.

 

 

 

 

7) 하드웨어 목록

KEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class

 

 

현재 시스템에 대한 하드웨어 정보들이다.

이 해당 내용은 장치관리자의 내용과 같다.

 

 

8) USB 접속 이력

   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR

 

   해당 이력을 확인하여 이전에 어떤 USB가 PC내 꽂혔는지와  어떤 시각에 꽂혔는지 알수있다.

 

 

9) 시작 페이지

  HKEY_USERS\{USER}\Software\Microsoft\Internet Explorer\Main

 

USER 의 부분은 사용자 마다 다르다.

시작 페이지 값

시작 페이지가 어떤 값으로 되어있는지 볼수 있다.

redirect Cache 는 검색엔진 설정이다.

 

10)  인터넷 사용 흔적

  HKEY_USERS\{USER}\Software\Microsoft\Internet Explorer\TypedURLs

 

해당 경로는 직접 타이핑을 해서 이동한 페이지의 목록이 저장된다.

 

컴퓨터\{USER}\Software\Microsoft\Internet Explorer\TypedURLsTypedURLsTime

 

위 경로는 직접 타이핑해서 이동한 목록이 저장된 시간이 저장된다.

 

11) 원격 (RDP) 연결 정보

  HKEY_USERS\{USER}\Software\Microsoft\Terminal Server Client\Default

 

  해당 내용은 원격 데스크톱을 한번도 접속하지 않았다면 해당 경로가 "Terminal Server Client" 부터 생성되지 않는다.

 

  MRU# 숫자가 적을수록 최근에 수행한 원격 데스크탑 연결 IP 이다.

 

12) 공유 폴더 목록

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\LanmanServer\Shares

 

 

위와 같이 공유된 폴더에 대한 정보를 보여준다

 

13) 최근 열람한 파일 목록

HKEY_USERS\{user}\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

 

RecentDoce 에는 모든 파일 목록이 표시되고 트리에는 각 확장자 별로 관리가 된다.

 

 

14) 검색 기록 (Windwos 검색)

HKEY_USERS\{USERS}\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery

폴더 검색을 했던 내용이 남는다.

해당 내용은 PC의 사용자가 어떤 내용을 검색 하려고 했는지 알 수 있다.