[디지털포렌식] #04

 

디지털포렌식

[2019-1]

#04

 

이번에는 저번 시간에 다 못했던 레지스트리 포렌식 뒷부분을 했다.

 

일단 USB 메모리 절차이다.

따라서 로그파일(setupapi.log)와 레지스트리를 통해서 USB 장치의 흔적이 파악 가능하다.

 

USB 장치 연결 정보

SetupAPI 로그파일에서 알 수 있는데, 위치는 %SystemRoot%\inf\Setupapi.dev.log 라고 한다.

나는 찾지 못했다...

이 안에서 DID(Device Class ID)형식과 UID(Unique Instance ID)형식을 알 수 있다. 

DID형식 : Disk&Ven_{제조사명}&Prod_{제품명}&Rev_{버전}

UID형식 : 시리얼 번호가 있는 경우 : {시리얼 번호}&#, 시리얼 번호가 없는 경우 : #&{PnP 관리자 생성 번호}&#

 

이렇게 알아낸 정보로 저장매체의 정보를 알아내려면, HKLM\SYSTEM\ControlSet00N\Enum\USBSTOR에서 알 수 있다. 

시리얼 번호는 HKLM\SYSTEM\ControlSet00N\Enum\USBSTOR\{Device Class ID}에서 알 수 있다. 

바로 위 사진에서 각 매체별 하위에 존재한다.

USB 장치 연결정보중 제조사 ID와 제품 ID는 HKLM\SYSTEM\ControlSet00N\Enum\USB에서 알 수 있다. 형식은 VID_{제조사 ID}&PID_{제품 ID}이다. 

또한 연결된 볼륨명은 HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices에서 알 수 있는데, 장치명을 따로 설정한 경우(friendlyName)설정된 장치명이 보이고, 장치명이 설정되지 않은 경우 연결된 볼륨명이 보인다. 

최초로 USB를 연결한 시각이나 부팅 이후 최초 연결 시각, 마지막 연결 시각 등은 키 값들 중에 각각과 유사한 성격이 있는 키값으로 조사한다. 즉, USB 최초 연결 시각은 USB를 최초로 연결할 때 생성되고 수정되지 않는 특성을 가지는 키의 마지막 수정 시각으로 살펴보는 것이다.

 

최초로 USB를 연결한 시각은 HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices에서 알 수 있으며, 부팅 이후 최초 연결 시각은  HKLM\ControlSet00N\\Control\DeviceClasses\Disk/Volume/USB/Windows Portable Devices GUID}에서 알 수 있다. 마지막 USB 연결 시각은 마찬가지로  HKLM\ControlSet00N\\Control\DeviceClasses\Disk/Volume/USB/Windows Portable Devices GUID}에서 알 수 있다. 

 

마운트된 저장 장치 정보는 HKLM\SYSTEM\MountedDevices에 있는데, 앞 4바이트는 디스크 시그니처고, 데이터를 통해 해당 드라이브에 마운트된 장치 형식을 확인 가능하다.

사진에서만 보면, 디스크 시그니처가 서로 다른 것이 두 개 이므로, 디스크 2개가 2개, 3개 파티션으로 나눠져 있는 것을 알 수 있음. 

제어판>관리도구>이벤트 뷰어에서 확인 가능한 이벤트 로그 설정 정보는 HKLM\System\ControlSet00N\Services\eventlog에서 알 수 있다. 

로그 파일의 경로, 크기, 유지 기간 등의 정보를 확인할 수 있다.

제어판>관리도구>서비스에서 확인 가능하거나 driverquery 명령으로 확인 가능한 한 서비스, 드라이버 등은 HKLM\System\ControlSet00N\Services\{서브키}에서 확인할 수 있다. 

네트워크 인터페이스 정보는 HKLM\SOFTWARE\Microsoft\Window NT\currentVersion\NetworkCards 에서 알아낸 GUID를 통해서 HKLM\SYSTEM\ControlSet00N\Services\Tcpip\Parameter\Interfaces\{GUID}에서 알 수 있다.  혹은 cmd에서 ifconfig/all 명령어로 확인 가능하다. 

무선랜 접속 정보는 HKLM\SOFTWARE\Microsoft\Window NT\currentVersion\NetworkList\Nla\Wireless에서 알아낸 정보로 HKLM\SOFTWARE\Microsoft\Window NT\currentVersion\NetworkList\Signatures\Unmanaged에서 알 수 있다. 여기서 GUID를 알아내서 Profiles에서 찾는다. 

신촌 DZ 카페 양 많다... 아이스 아메리카노 5시간 마실 수 있다구 암튼 와이파이 이름말고도 마지막 접속 시간도 알 수 있다. 저 위에 Date~ 들로 알 수 있고, 년/달/요일/날짜/시간/분/초/ms로 형태로 되어있다.

또한 인터넷 익스플로러 설정 정보는 HKU\{USER}\SOFTWARE\Microsoft\Internet Explorer\Main에서 알 수 있다. 시작 페이지, 검색 페이지 정보, 동작 시간 정보 등의 다양한 설정 정보를 알 수 있다.

 

추가로 인익에 타이핑한 URL 목록은 HKU\{USER}\SOFTWARE\Microsoft\Internet Explorer\TypedURLs 에서 알 수 있다. 하지만 인터넷 옵션 > 히스토리 항목 삭제를 수행하면 삭제된다.

인익에서 즐겨찾기 목록은 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites에서 알 수 있다. Order 키에서 즐겨찾기 목록이 저장되고, 하위 키에서 폴더이름들이 뜬다.

대화 상자 사용에서 최근에 접근한 폴더 목록은 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidMRU에서 확인할 수 있다. open 한 폴더 목록은 MRUListEx를 통해 접근 순서를 확인할 수 있다.

MRUListEx로 보면 11이 먼저, 6이 그 다음 ...이런 순서이다.

최근에 접근한 파일 목록(대화 상자를 통해 open하거나 save as한 파일들)을 확장자별로 볼 수 있다. HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidMRU에서 볼 수 있다.

그 밖에 많이 사용되는 응용프로그램에 대해 레지스트리 흔적 분석이 필요함.