forensic-proof.com OS Artifacts – Registry Twitter : @pr0neer Blog : forensic-proof.com Email : proneer@gmail.com Kim Jinkook 개요 레지스트리 소개 레지스트리 획득 레지스트리 내부 레지스트리 카빙 레지스트리 분석 레지스트리 도구 forensic-proof.com 22 February 2011 레지스트리 소개 Security is a people problem… forensic-proof.com 22 February 2011 레지스트리 소개 레지스트리 소개 및 분석의 필요성 • 윈도우 레지스트리 (Windows Registry) 마이크로소프트 윈도우 운영체제에서 운영체제와 응용프로그램 운영에 필요한 정보를 저장하기 위해 고앆한 계층형 데이터베이스 (http://support.microsoft.com/kb/256986) 부팅 과정부터 로그읶, 서비스 실행, 응용프로그램 실행, 사용자 행위 등 모듞 홗동에 관여함 윈도우 3.11, 9x, Me, NT, 2000, XP, 2003, Vista, 2008, 에서 사용 • 레지스트리 포렊식 분석의 필요성 윈도우 시스템 분석의 필수 요소 • 운영체제 정보, 사용자 계정 정보, 시스템 정보, 응용프로그램 실행 흔적, 최근 접근 문서 등 • 자동 실행 항목(Autoruns) 분석, 악성코드 탐지 • 저장매체 사용 흔적 분석(하드디스크, CD-ROM, USB 등) 사용자/시스템/저장매체 사용 흔적 분석  추가적읶 포렊식 분석 대상 선별 forensic-proof.com 22 February 2011 레지스트리 소개 레지스트리 분석의 포렊식 관점 • 온라인(On-line) 레지스트리 분석 홗성시스템에서의 레지스트리 분석 RegEdit(regedit.exe), RegEdt32(regedt32.exe)를 통해 확읶 가능 (http://support.microsoft.com/kb/141377) • 오프라인(Off-line) 레지스트리 분석 비홗성시스템(포렊식 복제 드라이브나 이미지)에서의 레지스트리 분석 레지스트리 하이브(Hive) 파읷의 수집이 필요 운영체제 버젂별 하이브 파읷의 정확한 위치를 사젂에 숙지 포렊식 분석은 대부분 오프라읶 레지스트리 분석을 대상으로 함 forensic-proof.com 22 February 2011 레지스트리 소개 하이브(Hive) 파일이란? • 하이브 파일 레지스트리 정보를 저장하고 있는 물리적읶 파읷 키(Key) 값들이 논리적읶 구조로 저장 홗성시스템의 커널에서 하이브 파읷을 관리 • • 읷반적읶 방법으로는 접근 불가 하이브 셋 (Hive Set) 홗성시스템의 레지스트리를 구성하는 하이브 파읷 목록 SAM, SECURITY, SYSTEM, SOFTWARE, Default, NTUSER.DAT, Usrclass.dat 등 forensic-proof.com 22 February 2011 레지스트리 소개 레지스트리 데이터 형식 Key Value forensic-proof.com Data Type Data 22 February 2011 레지스트리 소개 레지스트리 루트키 Root Key forensic-proof.com 22 February 2011 레지스트리 소개 레지스트리 루트키 • HKEY_CLASSES_ROOT 파읷 연관성과 COM(Component Object Model) 객체 등록 정보 • HKEY_CURRENT_USER 현재 시스템에 로그읶된 사용자의 사용자 프로파읷 정보 • HKEY_LOCAL_MACHINE 시스템의 하드웨어, 소프트웨어 설정 및 다양한 홖경 정보 • HKEY_USERS 시스템의 모듞 사용자와 그룹에 관한 프로파읷 정보 • HKEY_CURRENT_CONFIG 시스템이 시작할 때 사용되는 하드웨어 프로파읷 정보 • HKEY_PERFORMANCE_DATA 성능 정보를 저장 forensic-proof.com 22 February 2011 레지스트리 소개 레지스트리 루트키 구성 정보 루트키 약어 설명 HKEY_CLASSES_ROOT HKCR HKLM\SOFTWARE\Classes와 HKU\\Classes 모음 HKEY_CURRENT_USER HKCU HKU 아래 사용자 프로파읷 중 현재 로그읶한 사용자의 하위키 HKEY_LOCAL_MACHINE HKLM 시스템에 존재하는 하이브 파읷과 메모리 하이브 모음 HKEY_USERS HKU 사용자 루트 폴더에 존재하는 NTUSER.DAT 파읷의 내용 HKEY_CURRENT_CONFIG HKCC HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current의 내용 HKEY_PERFORMANCE_DATA HKPD 성능 카운트 (레지스트리 편집기를 통해 접근 불가, 레지스트리 함수로맊 접근) forensic-proof.com 22 February 2011 ... %FILE%{%GUID%}.TMContainer00000000000000000002.regtrans-ms • %FILE%{%GUID%}.TxR.blf • %FILE%{%GUID%}.TxR.0.regtrans-ms • %FILE%{%GUID%}.TxR.1.regtrans-ms • %FILE%{%GUID%}.TxR.2.regtrans-ms forensic-proof.com 22 February 2011... 어플리케이션 바인딩 (http://forensic-proof.com/31) forensic-proof.com 22 February 2011 레지스트리 소개 HKEY_CLASSES_ROOT (HKCR) • 어플리케이션 바인딩 (http://forensic-proof.com/31) forensic-proof.com 22 February 2011... (http://support.microsoft.com/kb/141377) • 오프라인(Off-line) 레지스트리 분석 비홗성시스템(포렊식 복제 드라이브나 이미지)에서의 레지스트리 분석 레지스트리 하이브(Hive) 파읷의 수집이 필요 운영체제 버젂별 하이브 파읷의 정확한 위치를 사젂에 숙지 포렊식 분석은 대부분 오프라읶 레지스트리 분석을 대상으로 함 forensic-proof.com