[kevin’s attic for security research] windows registry...
TRANSCRIPT
[Kevin’s Attic for Security Research]
Windows Registry Artifacts
[email protected] DO NOT FORGET TO REMAIN THE ORIGINAL SOURCE WHEN YOU MAKE USE OF THIS MATERIAL OR (RE)DISTRIBUTE IT.
2
What to Cover
Kevin’s Attic for Security Research
1. What is Registry?
2. Location and Components
3. Root Keys
4. Hive Structure
5. Windows Registry Artifacts
Basic System Information, Installed Software List, MRU List, USB Information,
Mounted Devices, Timezone information, Shared Resources, Mapped
Network Drives, Startup Services, Internet Explorer, Wireless SSIDs, Network
Interfaces, SAM, UserAssist (Application Usage), Shellbags, Explorer Searches,
RDP Connection Information, Hardware Information, Restore Point
[References]
3
General Information
Windows Registry Artifacts
Digital Forensic
• What is registry?
http://en.wikipedia.org/wiki/Windows_Registry
광활한 Microsoft Windows 운영체제 정보 저장소
운영체제와 프로그램 구성 데이터의 계층형 데이터베이스 (Hierarchical Database in binary)
Drawbacks: 단일 실패점 (SPoF, Single Point of Failure)
Booting/Login Process, Service/Application Execution, User Activities, …
“마지막 성공 구성 설정” 저장/복구 가능
Windows 3.11 이후부터 사용
[References]
4
Location
Windows Registry Artifacts
Digital Forensic
• Location
HKLM
HKU
%SYSTEMROOT%\System32\Config\, %SYSTEMROOT%Document and Settings\[Account]
[References]
5
Components
Windows Registry Artifacts
Digital Forensic
• Components (regedit.exe)
Key
Subkey
Value Type Data
[References]
6
Root Keys
Windows Registry Artifacts
Digital Forensic
• Registry Root Keys
HKEY_CLASSES_ROOT: 파일과 COM(Component Object Model) 객체 등록 정보
HKEY_CURRENT_USER: 시스템에 로그인한 사용자 Profile
HKEY_LOCAL_MACHINE 시스템 하드웨어, 소프트웨어 설정과 환경 정보
HKEY_USERS 시스템 모든 사용자와 그룹 Profile
HKEY_CURRENT_CONFIG 시스템 시작에 사용되는 하드웨어 Profile
[References]
7
Root Keys
Windows Registry Artifacts
Digital Forensic
• Registry Root Keys
Master Key: HKEY_LOCAL_MACHINE , HKEY_USERS
Derived Key: HKEY_CLASSES_ROOT, HKEY_CURRENT_USER , HKEY_CURRENT_CONFIG
Key 설명
HKEY_CLASSES_ROOT (HKCR)
HKLM\SOFTWARE\Classes와 HKU\<SID>\Classes Symbolic Link Default Setting 과 개별 사용자 Setting 혼합
HKEY_CURRENT_USER (HKCU)
HKEY_USERS 사용자 프로파일 Hive 하위 키 Symbolic link Console 사용자 환경 구성
HKEY_LOCAL_MACHINE (HKLM)
System Hive, Memory Hive 모음 (SYSTEM, SOFTWARE, SAM, SECURITY)
대부분의 computer setting 정보 보관, Master Key
HKEY_USERS (HKU)
로그온 계정의 사용자 프로파일 hive를 담고 있는 장소 (NTUSER.DAT) Console 사용자와 다른 사용자 환경 구성, 최소 3개 subkey (.DEFAULT, SID, SID_Classes)
HKEY_CURRENT_CONFIG (HKCC)
현재 하드웨어 정보(Profile)를 가지고 있는 키 Symbolic link (HKLM \SYSTEM\CurrentControlSet\Control\IDConfigDB\Hardware Profiles 하위)
HKEY_DYN_DATA 데이터 탐색 성능을 위한 장소이며 물리적 hive는 존재하지 않음
http://technet.microsoft.com/en-us/library/cc750583.aspx
8
Windows Registry Artifacts
Digital Forensic
• Root Keys
• Registry Root Keys - HKCU
HKCU: HKU 하위 Profile 중 현재 Login 사용자의 하위 키
[References]
• Registry Root Keys – HKCU Subkey
9
Root Keys
Windows Registry Artifacts
Digital Forensic
HKCU Subkey Details
AppEvents: 사운드, 이벤트 관련 CLSID: COM 객체 연결 정보 Console: 명령 프롬프트 윈도우 설정 정보 ControlPanel: 데스크탑 테마, 키보드/마우스 환경 설정 정보 Environment: 환경 변수 정의 EUDC: 최종 사용자가 정의한 문자 정보 Identities: 윈도우 메일 계정 정보 Keyboard Layout: 키보드 레이아웃 설정 정보 Network: 네트워크 드라이브 매핑 정보, 환경 설정 값 Printers: 프린트 연결 설정 Session Information: 작업표시줄 표시 현재 실행 프로그램 설정 Software: 로그인한 사용자 소프트웨어 목록 System: HKLM/SYSTEM 하위키의 일부 (Control, Policies, Services) UNICODE Program Groups: 로그인 사용자 시작 메뉴 그룹 정의 Volatile Environment: 휘발성 환경 변수
http://forensic-proof.com/archives/1515
10
Windows Registry Artifacts
Digital Forensic
• Registry Root Keys – HKLM
• Root Keys
HKLM: 시스템 전체 Hardware, Software 설정과 환경 정보
[References]
• Registry Root Keys – HKLM Subkey
11
Root Keys
Windows Registry Artifacts
Digital Forensic
HKLM Subkey details
BCD00000000 Boot Configuration Data 관리 (Windows XP Boot.ini 대체)
COMPONENTS 설치된 Components와 관련된 정보 관리
HARDWARE 시스템 하드웨어 description 모든 하드웨어의 장치 드라이버 mapping 정보 (Volatile)
SAM 로컬 계정 정보와 그룹 정보 시스템 계정만 접근 가능
SECURITY 시스템 보안 정책과 권한 할당 정보 시스템 계정만 접근 가능
SOFTWARE 시스템 부팅에 필요 없는 소프트웨어 정보
SYSTEM 시스템 부팅에 필요한 시스템 전역 구성 정보
http://forensic-proof.com/archives/1515
[References]
• Registry Root Keys – HKU
12
Root Keys
Windows Registry Artifacts
Digital Forensic
HKU: 모든 사용자의 Profile과 사용자 Class 등록 정보
Key Hive File Location
HKU\<LocalServices SID> XP - %UserProfile%\LocalService\NTUSER.DAT Vista/7 - %SystemRoot%\ServiceProfiles\LocalService\NTUSER.DAT
HKU\<NetworkServices SID> XP - %UserProfile%\NetworkService\NTUSER.DAT Vista/7 - %SystemRoot%\ServiceProfiles\NetworkService\NTUSER.DAT
HKU\<User SID> XP - %UserProfile%\<UserName>\NTUSER.DAT Vista/7 - %UserProfile%\NTUSER.DAT
HKU\<User SID>_Classes XP - %UserProfile%\<UserName>\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Vista/7 .%UserProfile%\AppData\Local\Microsoft\Windows\UsrClass.dat
HKU\.DEFAULT %SystemRoot%\System32\Config\DEFAULT
http://forensic-proof.com/archives/1515
[References]
13
(Hive) Files
Windows Registry Artifacts
Digital Forensic
• Registry (Hive) Files
6개의 물리적 파일과 2개의 휘발성 파일로 구성
http://kevin9life.blogspot.kr/2012/09/demystifying-registry-1.html
Registry Path File Path
HKLM\System %WINDIR%system32\config\SYSTEM
HKLM\SAM %WINDIR%system32\config\SAM
HKLM\Security %WINDIR%system32\config\SECURITY
HKLM\Software %WINDIR%system32\config\SOFTWARE
HKLM\Hardware 휘발성 Hive
HKLM\System\Clone 휘발성 Hive
HKEY_USERS\User SID 사용자 Profile (NTUSER.DAT) "Document and Settings\User" (WinXP), "Users\User" (Vista 이후)
HKEY_USERS\Default %WINDIR%system32\config\DEFAULT
[References]
14
(Hive) Files
Windows Registry Artifacts
Digital Forensic
• Registry (Hive) Files
HKLM\SYSTEM\CurrentControlSet\Control\hivelist
http://kevin9life.blogspot.kr/2012/09/demystifying-registry-1.html
[References]
15
Hive Structure
Windows Registry Artifacts
Digital Forensic
• Hive Structure (1/4)
Cell Data Type
Key cell 키를 저장하고, 키 노드라고도 부름 (Signature: 키-kn, 심볼릭 링크-kl) * 키가 최종 업데이트된 timestamp (LastWrite)
Value cell 키 값과 데이터를 저장하는 셀 (Signature : kv) * 유형: REG_DWORD, REG_BINARY 등
Subkey-list cell 키 셀을 가리키는 일련의 인덱스로 구성
Value-list cell 값 셀을 가리키는 일련의 인덱스로 구성
Security-descriptor cell 보안 식별자를 가지고 있는 셀 (Signature: ks)
http://sentinelchicken.com/data/TheWindowsNTRegistryFileFormat.pdf
[References]
16
Hive Structure
Windows Registry Artifacts
Digital Forensic
• Hive Structure (2/4)
http://technet.microsoft.com/en-us/library/cc750583.aspx
Hive File은 Block (4,096Byte = 4KB) 단위로 Data를 저장함
가장 처음은 Base Block (=Hive File Header, 4KB)와 Empty Bin (4KB)이 자리잡고 있음
그 이후부터는 모두 Hive Bin이라는 연속적인 논리적 구조가 이어짐
[References]
• Hive Structure (3/4)
17
Hive Structure
Windows Registry Artifacts
Digital Forensic
Base Block (=Hive File Header, 4KB) 의 Signature는 regf임
http://forensic-proof.com/archives/1515
[References]
• Hive Structure (4/4)
18
Hive Structure
Windows Registry Artifacts
Digital Forensic
Hive Bin(4KB) 의 Signature는 hbin임
Timestamp는 LastWrite 시간이며 Registry Key의 생성/변경/접근/삭제 시 Update!
(Registry value의 LastWrite 시간은 알 수 없음)
http://forensic-proof.com/archives/1515 http://www.forensicfocus.com/downloads/windows-registry-quick-reference.pdf
[References]
19
Artifacts > System information
Windows Registry Artifacts
Digital Forensic
• Registry Artifacts at a glance
Basic System Information
Installed Software List
MRU List
USB Information
Mounted Devices
Timezone information
Shared Resources
Mapped Network Drives
Startup Services
Internet Explorer
Wireless SSIDs
Network Interfaces
SAM
UserAssist (Application Usage)
Shellbags
Explorer Searches
RDP Connection Information
Hardware Information
Restore Point
Many Other Application Artifacts…
[Lessons Learned or Notes]
• Artifacts - System Information
20
Artifacts > System information
Windows Registry Artifacts
Digital Forensic
HIVE: SYSTEM, SOFTWARE
Computer Name
HKLM\SYSTEM\ControlSet\Control\ComputerName\ComputerName
HKLM\SYSTEM\ControlSet00[#]\Control\ComputerName\ActiveComputerName
Shutdown Time
HKLM\SYSTEM\ControlSet00[#]\Control\Windows
System Information
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
ComputerName은 제어판 시스템 또는 cmd.exe에서 hostname 명령어를 통해 알 수 있다.
[Lessons Learned or Notes]
• Artifacts - Installed Software List
21
Artifacts > Installed Software
Windows Registry Artifacts
Digital Forensic
HIVE: SOFTWARE
Uninstall Information
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
Standalone Software의 경우 알 수 없다.
[References]
22
Artifacts > MRU Lists (Recent Accessed Items)
Windows Registry Artifacts
Digital Forensic
• Artifacts – MRU Lists in Windows (1/4)
HIVE: NTUSER.DAT
Recent Docs
NTUSER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
많은 binary 정보로 구성, timeline을 만드는데 추가정보 제공, MRUListEx는 순서 유지
• Artifacts – MRU Lists in Windows (2/4)
23
Artifacts > MRU Lists (Recent Accessed Items)
Windows Registry Artifacts
Digital Forensic
HIVE: NTUSER.DAT
Recent Runs
NTUSER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
[Lessons Learned or Notes]
• Artifacts – MRU Lists in Applications (3/4)
24
Artifacts > MRU Lists (Recent Accessed Items)
Windows Registry Artifacts
Digital Forensic
HIVE: NTUSER.DAT
Adobe Acrobat Reader
NTUSER\Software\Adobe\Adobe Acrobat\[VER]\AVGeneral\cRecentFiles
Office Documents
NTUSER\Software\Microsoft\Office\[VER]\{Word, Excel, Powerpoint}\File MRU
NTUSER\Software\Microsoft\Office\[VER]\{Word, Excel, Powerpoint}\Place MRU
Wallpaper
NTUSER\Software\Microsoft\Windows\CurrentVersion\Explorer\Wallpaper\MRU
최근 실행문서나 바로가기(lnk)와 함께 참조해서 확인 필요
[Lessons Learned or Notes]
• Artifacts – MRU Lists in Applications (4/4)
25
Artifacts > MRU Lists (Recent Accessed Items)
Windows Registry Artifacts
Digital Forensic
HIVE: NTUSER.DAT
Wordpad
NTUSER\Software\Microsoft\Windows\CurrentVersion\Applets\wordpad\Recent File List
버전별 한글
(2005) NTUSER\SOFTWARE\HNC\Hwp\6.5\RecentFile
(2007) NTUSER\SOFTWARE\HNC\Hwp\7.0\HwpFrame\RecentFile
(2010) NTUSER\SOFTWARE\HNC\Hwp\8.0\HwpFrame\RecentFile
Media Player
NTUSER\Software\Microsoft\MediaPlayer\Player\RecentFileList
NTUSER\Software\Microsoft\MediaPlayer\Player\RecentURLList
최근 실행문서나 바로가기(lnk)와 함께 참조해서 확인 필요
• Artifacts – USB information* (1/7)
26
Artifacts > USBs
Windows Registry Artifacts
Digital Forensic
HIVE: SYSTEM
HKLM\SYSTEM\ControlSet\Enum\USBStor
Device Class ID: Vendor 정보, 제품명, Revision number 표시
Disk&Ven_[vendor_info]&Prod_[product_name]&_Rev_[revision_num]
Unique Instance ID: Device Class ID 하위 키로 Serial 정보 여부에 따라 두 가지로 분류
(1) Serial Number가 있을 경우: [Serial_Number]&#
(2) Serial Number가 없을 경우: #&[PnP_Generation_Number]&#
USBStor 키의 경우 마지막 수정시간(Last Written Time)이 Windows 보안정책에 의해 임의 갱신될 수 있음
• Artifacts – USB information* (2/7)
27
Artifacts > USBs
Windows Registry Artifacts
Digital Forensic
HIVE: SYSTEM
HKLM\SYSTEM\ControlSet\Enum\USB
제조사 ID, 제품 ID 표시
VID_[vendor_id]&PID_[product_id]
USB 키의 경우 마지막 수정시간(Last Written Time)이 Windows 보안정책에 의해 임의 갱신될 수 있음
• Artifacts – USB information* (3/7)
28
Artifacts > USBs
Windows Registry Artifacts
Digital Forensic
HIVE: SYSTEM
Volume Name of each Connection
HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices
하위 키는 Product Name 이나 Serial Number를 포함하고 있으므로 이 정보로 검색
FriendlyName 값의 경우 장치명 설정이 존재하면 그 값을, 아닐 경우 연결 Volume명을 가짐
Volume명의 경우 다른 장치를 꽂을 때 동일하게 할당할 수 있으므로 유의해야 함
• Artifacts – USB information* (4/7)
29
Artifacts > USBs
Windows Registry Artifacts
Digital Forensic
HIVE: SYSTEM
Booting 이후 최초 연결 시각 검색 (최종수정시간)
HKLM\SYSTEM\CurrentControlSet\Control\DeviceClasses\{GUID}
(Disk) {53f56307-b6bf-11d0-94f2-00a0c91efb8b}
(Volume) {53f5630d-b6bf-11d0-94f2-00a0c91efb8b}
(USB) {a5dcbf10-6530-11d2-901f-00c04fb951ed}
(Portable Device) {6ac27878-a6fa-4155-ba85-f98f491d4f33}
하위 키는 Product Name 이나 Serial Number를 포함하고 있으므로 이 정보로 검색
• Artifacts – USB information* (5/7)
30
Artifacts > USBs
Windows Registry Artifacts
Digital Forensic
HIVE: SYSTEM, NTUSER.DAT
Booting 이후 마지막 연결 시각 검색 (최종수정시간)
HKU\[USER]\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoint2
HKLM\SYSTEM\ControlSetXXX\Enum\USB\VID_[vendor_id]&PID_[product_id]
하위 키는 Product Name 이나 Serial Number를 포함하고 있으므로 이 정보로 검색
• Artifacts – USB information* (6/7)
31
Artifacts > USBs
Windows Registry Artifacts
Digital Forensic
USBDView from Nirsoft
[References]
32
Artifacts > USBs
Windows Registry Artifacts
Digital Forensic
• Artifacts – USB information* (7/7)
C:\windows\setup.api
[References]
33
Artifacts > Mounted Devices
Windows Registry Artifacts
Digital Forensic
• Artifacts – Mounted Devices
HIVE: SYSTEM
HKLM\SYSTEM\MountedDevices
ParentIdPrefix 값을 이용해 USBSTOR과 MountedDevices 키의 상관관계를 알 수 있음
ParentIdPrefix
[References]
• Artifacts – Timezone Information (1/2)
34
Artifacts > Timezone Information
Windows Registry Artifacts
Digital Forensic
HIVE: SYSTEM
HKLM\SYSTEM\ControlSet\Control\TimeZoneInformation
GMT(Greenwich Mean Time) & DST(Daylight Saving Time) Information
http://msdn.microsoft.com/en-us/library/ms725481.aspx
[References]
35
Artifacts > Timezone Information
Windows Registry Artifacts
Digital Forensic
• Artifacts – Timezone Information (2/2)
HIVE: SYSTEM
HKLM\SYSTEM\ControlSet\Control\TimeZoneInformation
http://forensic-proof.com/archives/321 http://forensicinsight.org/wp-content/uploads/2012/10/INSIGHT-Digital-Times.pdf
Value Name Data Type Description
ActiveTimeBias 32bit 정수 현재 시스템 시간 (GMT + 분 offset)
Bias 32bit 정수 시간대 설정에 기반 (GMT + 분 offset)
DaylightBias 32bit 정수 시간대 설정에 기반 (일광절약제 적용, GMT + 분 offset)
DaylightName Unicode Text String 시간대 설정 이름 (일광절약제 적용)
DaylightStart Binary (2Byte 구성, 이후 8Byte 무시)
일|월|주|시간 - 일: 2Byte, 일요일(0) 기준, 0-6 - 월: 2Byte, 1월(1) 기준, 1-12 - 주: 2Byte, 1주차(1) 기준, 1-52 - 시간: 24시간 기준, 1-24
StandardBias 32bit 정수 시간대 설정에 기반 (표준시간 적용, GMT + 분 offset)
SandardName Unicode Text String 시간대 설정 이름 (표준시간 적용)
StandardStart Binary (4Byte 구성, 이후 8Byte 무시)
일|월|주|시간 (DaylightStart 참조) 예) 00 00 |0A 00 |05 00 |02 00 일요일 | 10월 | 5주차 | 2시
[References]
36
Artifacts > Shared Resources
Windows Registry Artifacts
Digital Forensic
• Artifacts – Shared Resources
HIVE: SYSTEM
Network Shares
HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares
Type=0 (Drive share), Type=1 (Print Queue share)
Special Purpose Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
공유폴더는 명령어 행에서 net share를 통해 알 수 있음
AutoShareServer: 숨김 관리 공유 생성 기능 제거
http://support.microsoft.com/kb/288164
[References]
37
Artifacts > Mapped Network Drive
Windows Registry Artifacts
Digital Forensic
• Artifacts – Mapped Network Drive
HIVE: NTUSER.DAT
Network Drive Connection (네트워크 드라이브 연결)
NTUSER\Software\Microsoft\Windows\CurrentVersion\Explorer\Map Network Drive MRU
사용자가 시스템에 추가한 Volume
NTUSER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
[References]
38
Artifacts > Startup services
Windows Registry Artifacts
Digital Forensic
• Artifacts – Startup Services (1/3)
HIVE: SOFTWARE
Startup services in oder when a user login
1. HKLM\ SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
2. HKLM\ SOFTWARE\Microsoft\Windows\CurrentVersion\Ploicies\Explorer\Run
3. HKLM\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. HKCU\ SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Run
5. HKCU\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run
6. HKCU\ SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
신규 사용자가 로그인할 때마다 1,3,5,6 분석 후 실행
RunOnce 값 (1,6)이 별표(*)로 시작하면 안전모드에서도 실행
[References]
39
Artifacts > Startup services
Windows Registry Artifacts
Digital Forensic
• Artifacts – Startup Services (2/3)
HIVE: SOFTWARE
Startup services user activities
HKLM\SOFTWARE\Classes\exefile\shell\open\command
HKCR\exefile\shell\open\command
일반적으로 위 경로에 기본값 "%1" %* 만 존재함 (ftype exefile 명령어로 확인 가능)
악성코드 등에서 자주 사용하는 방식
1. HKCR\Wordpad.Document.[version]\shell\open\command (문서를 더블 클릭할 때마다 실행)
2. HKLM\SOFTWARE\Microsoft\Command Processor\AutoRun (cmd.exe를 실행할 때마다 실행)
3. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
(GUI Application이 시작될 때마다 DLL을 memory 내로 Load함)
4. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
(사용자 로그온/로그오프, 화면보호기 시작 등 이벤트에 외부기능을 차단하는 알림 )
[References]
40
Artifacts > Startup services
Windows Registry Artifacts
Digital Forensic
• Artifacts – Startup Services (3/3)
HIVE: SYSTEM
Startup services when system booting
HKLM\SYSTEM\CurrentControlSet\Services
시스템 시작 후 현재 ControlSet 값을 결정하고 해당 설정을 시작함 (Start=0x02)
[References]
41
Artifacts > Startup services
Windows Registry Artifacts
Digital Forensic
• Artifacts –Startup Services with Autoruns from sysinternals
• Artifacts –Startup Services with Autoruns from sysinternals
42
Artifacts > Startup services
Windows Registry Artifacts
Digital Forensic
Logon This entry results in scans of standard autostart locations such as the Startup folder for the current user and all users, the Run Registry keys, and standard application launch locations.
Explorer Select this entry to see Explorer shell extensions, browser helper objects, explorer toolbars, active setup executions, and shell execute hooks.
Internet Explorer This entry shows Browser Helper Objects (BHO's), Internet Explorer toolbars and extensions.
Services All Windows services configured to start automatically when the system boots.
Drivers This displays all kernel-mode drivers registered on the system except those that are disabled.
Scheduled Tasks Task scheduler tasks configured to start at boot or logon.
AppInit DLLs This has Autoruns shows DLLs registered as application initialization DLLs.
Boot Execute Native images (as opposed to Windows images) that run early during the boot process.
Image Hijacks Image file execution options and command prompt autostarts.
Known DLLs This reports the location of DLLs that Windows loads into applications that reference them.
Winlogon Notifications Shows DLLs that register for Winlogon notification of logon events.
Winsock Providers Shows registered Winsock protocols, including Winsock service providers.
LSA Providers Shows registers Local Security Authority (LSA) authentication, notification and security packages.
Printer Monitor Drivers Displays DLLs that load into the print spooling service.
Sidebar Displays Windows Vista sidebar gadgets
[References]
43
Artifacts > Startup services
Windows Registry Artifacts
Digital Forensic
• Artifacts –Startup Services with Built-in system configuration utility
msconfig
• Artifacts – Internet Explorer: Settings (1/4)
44
Artifacts > Internet Explorer
Windows Registry Artifacts
Digital Forensic
HIVE: NTUSER.DAT
Internet Explorer Start page, Search page, Toolbar 등 각종 세부 설정값 저장
NTUSER\Software\Microsoft\Internet Explorer\Main
[References]
45
Artifacts > Internet Explorer
Windows Registry Artifacts
Digital Forensic
• Artifacts – Internet Explorer: TypedURLs (2/4)
HIVE: NTUSER.DAT
Typed URLs in Internet Explorer (사용자가 직접 입력한 URL)
NTUSER\Software\Microsoft\Internet Explorer\TypedURLs
Windows Shell 내부 열기, 다른 이름으로 저장 대화상자 (CommonDialog32)
NTUSER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU
NTUSER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU
[Lessons Learned or Notes]
• Artifacts – Internet Explorer: Download Directory (3/4)
46
Artifacts > Internet Explorer
Windows Registry Artifacts
Digital Forensic
HIVE: NTUSER.DAT
Download directory in Internet Explorer
NTUSER\Software\Microsoft\Internet Explorer\
http://forensicinsight.org/wp-content/uploads/2012/03/INSIGHT_Web-Browser-Forensics_Part1.pdf http://forensicinsight.org/wp-content/uploads/2012/03/INSIGHT_Web-Browser-Forensics-Part-II.pdf
• Artifacts – Internet Explorer: Stored Data (4/4)
47
Artifacts > Internet Explorer
Windows Registry Artifacts
Digital Forensic
HIVE: NTUSER.DAT
(Form Data) NTUSER\Software\Microsoft\Internet Explorer\IntelliForms\Storage1
(Account Data) NTUSER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2
[References]
48
Artifacts > Wireless SSIDs
Windows Registry Artifacts
Digital Forensic
• Artifacts – Wireless SSIDs
HIVE: SOFTWARE
Wireless Information
HKLM\SOFTWARE\Microsoft\WZCSVC\Parameters\Interfaces\[Interface Guid]
Windows Vista 이후부터 아래 경로에 저장
c:\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\[Interface Guid]
암호화한 키를 xml 파일에 저장함
[References]
49
Artifacts > Network Information
Windows Registry Artifacts
Digital Forensic
• Artifacts – Network Interfaces (1/2)
HIVE: SYSTEM, SOFTWARE
Network Information
HKLM\SYSTEM\ControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}
Network Cards
HKLM\Software\Microsoft\Windows NT\CurrentVersion\NetworkCards
Network Configuration
HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}
Network Interface
HKLM\SYSTEM\ControlSet00[n]\Services\Tcpip\Parameters\Interfaces
MAC
HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}
[References]
• Artifacts – Network Interfaces (2/2)
50
Artifacts > Network Information
Windows Registry Artifacts
Digital Forensic
[Lessons Learned or Notes]
• Artifacts – SAM (user accounts) (1/3)
51
Artifacts > SAM (User Accounts)
Windows Registry Artifacts
Digital Forensic
HIVE: SAM
HKLM\SAM\SAM\Domains\Account\Users\[RIDs]
HKLM\SAM\SAM\Domains\Account\Users\Names\[Accounts]
SAM 영역은 system 권한으로 실행해야 볼 수 있다. Sysinternals의 psexec를 이용하자. PsExec.exe -i -d –s c:\windows\regedit.exe
[References]
52
Artifacts > SAM (User Accounts)
Windows Registry Artifacts
Digital Forensic
• Artifacts – SAM (user accounts) (2/3)
개별 사용자 계정정보는 {RID}의 F, V 값에 저장함
http://forensic-proof.com/archives/1515
F value V value
• 최종 로그인 시각 [Offset 8-15] • 패스워드 재설정 시각 [Offset 24-31] • 계정 만료 시각 [Offset 32-39] • 로그인 실패 시각 [Offset 40-47] • RID (SID의 마지막 식별부분) • 계정 상태 정보 (활성 여부, 패스워드 설정 여부) • 국가 코드 (국제 전화 코드) • 로그인 실패 횟수 • 로그인 성공 횟수
• 로그인 계정명 • 전체 이름 • 계정 설명 • LM Hash • NT Hash
[References]
53
Artifacts > SAM (User Accounts)
Windows Registry Artifacts
Digital Forensic
• Artifacts – SAM (user accounts) (3/3)
HIVE: Software
User Profile Lists
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\{SID}
[References]
54
Artifacts > UserAssist
Windows Registry Artifacts
Digital Forensic
• Artifacts – UserAssist (1/3)
HIVE: SOFTWARE, NTUSER.DAT
HCU\[USER]\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
자주 사용하는 프로그램 바로가기, 시작 메뉴의 자주 사용하는 프로그램
실행횟수, 마지막 실행 시간 기록
ROT13 Encoding
http://rot13-encoder-decoder.waraxe.us/ http://commons.wikimedia.org/wiki/File:ROT13.png
Q:\Gbbyf\Zvfpryynarbhf\GvzrYbeq\Nccyvpngvba Svyrf\GvzrYbeq_0_1_5_6\GvzrYbeq.rkr D:\Tools\Miscellaneous\TimeLord\Application Files\TimeLord_0_1_5_6\TimeLord.exe
• Artifacts – UserAssist (2/3)
55
Artifacts > UserAssist
Windows Registry Artifacts
Digital Forensic
HCU\[USER]\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
Windows 2000/XP/Vista
{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count {75048700-EF1F-11D0-9888-006097DEACF9}\Count
Data Format in Windows 2000/XP/Vista
0-3: Session #
4-7: Application 실행 횟수 (기본값: 5)
8-15: 마지막 실행시간
• Artifacts – UserAssist (3/3)
56
Artifacts > UserAssist
Windows Registry Artifacts
Digital Forensic
HCU\[USER]\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
Windows 7
{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count {F4E57C4B-2036-45F0-A9AB-443BCFE33D9F}\Count
Data Format in Windows 7 0-3: Session # 4-7: Application 실행 횟수 (기본값 Application에 따라 다름) 60-67: 마지막 실행시간
[References]
57
Artifacts > Shellbags
Windows Registry Artifacts
Digital Forensic
• Artifacts – Shellbags
HIVE: NTUSER.DAT
HKCU\Software\Microsoft\Windows\ShellNoRoam
HKCU\Software\Microsoft\Windows\Shell
HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell (Windows Vista or higher)
• Artifacts – Windows Searches (1/2)
58
Artifacts > Windows Searches
Windows Registry Artifacts
Digital Forensic
HIVE: NTUSER.DAT
(WinXP) HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\[????]
Number Meaning
5001 인터넷 검색
5603 모든 파일 및 폴더 검색
5604 문서에 들어있는 단어 또는 문장, 그림/음악/비디오 검색
5647 컴퓨터 또는 사람 검색
• Artifacts – Windows Searches (2/2)
59
Artifacts > Windows Searches
Windows Registry Artifacts
Digital Forensic
HIVE: NTUSER.DAT
(Win7) HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery
Windows XP는 낮은 순번이 최근 검색인 반면
Windows 7의 경우 MRUListEx에서 사용 순서를 저장함
(Windows Vista는 검색어 목록을 registry에 담고 있지 않음)
• Artifacts – RDP Connection
60
Artifacts > RDP Connection
Windows Registry Artifacts
Digital Forensic
HIVE: NTUSER.DAT
HKU\{USER}\SOFTWARE\Microsoft\Terminal Server Client\Default
HKU\{USER}\SOFTWARE\Microsoft\Terminal Server Client\Servers
낮은 숫자가 최근 기록임
• Artifacts – Hardware Information
61
Artifacts > Hardware Information
Windows Registry Artifacts
Digital Forensic
HIVE: SYSTEM
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
• Artifacts – Restore Points
62
Artifacts > Restore Points
Windows Registry Artifacts
Digital Forensic
HIVE: Software
HKLM\SYSTEM\ControlSet00[#]\Control\Class
HKLM\SYSTEM\ControlSet00[#]\Enum
63 Kevin’s Attic for Security Research