[KUCIS 프로젝트] A Forensic Analysis of the Windows Registry

김범연-A Forensic Analysis of the Windows Registry.pdf

 

○ 목     차 ○

 

1.    도입

 

2.     레지스트리

2-1.    레지스트리 정의

 

2-2.    레지스트리를 통해 알 수 있는 정보

 

2-3.    레지스트리의 구성

2-3.1.      HKLM(HKEY_LOCAL_MACHINE)

2-3.2.      HKU(HKEY_USERS)

2-3.3.      HKCU(HKEY_CURRENT_USER)

2-3.4.      HKCC(HKEY_CURRENT_CONFIG)

2-3.5.      HKCR(HKEY_CLASS_ROOT)

 

2-4.    하이브 파일 (Hive File)

2-4.1.      하이브 파일 (Hive File)의 정의

2-4.2.      레지스트리 하이브 (Registry Hive)의 구성

2-4.3.      HKEY_LOCAL_MACHINE 의 4가지 Hive File

2-4.4.      HKEY_USERS 의 2가지 Hive File

 

3.       레지스트리를 로그로 활용하기

3-1.    Offline System 레지스트리의 LastWrite time확인 (Encase 이용)

3-1.1.      원하는 레지스트리에 해당하는 Hive File을 찾아간다.

3-1.2.      해당 경로로 찾아가서 오른쪽 버튼 – View File Structure

3-1.3.      Hive File 익스포팅 후 별도의 툴 활용하기

 

3-2.    어플리케이션 관련 최근 사용 흔적

3-2.1.      최근 실행 목록(MRU lists, most recently used)

3-2.2.      최근 삭제한 목록

3-2.3.      특정 파일, 어플리케이션의 사용자 접근

3-3.    시스템 정보

3-3.1.      USB 장치 (USB Memory, PDA, 핸드폰 등)

3-3.2.      마운트한 장치들

3-3.3.      기타 포렌식 관점으로 주시할 사항

 

3-4.    네트워크

3-4.1.      무선 네트워크

3-4.2.      로컬 네트워크

3-4.3.      Intelliforms(자동완성기능)

3-4.4.      기타 포렌식 관점으로 주시할 사항

 

3-5.    웹 브라우져

3-5.1.      인터넷 익스플로러

3-5.2.      Opera

3-5.3.      Netscape, FireFox

 

3-6.    P2P 클라이언트

3-6.1.      Limewire

3-6.2.      Kazaa

3-6.3.      Morpheus

3-6.4.      기타 국내 P2P 및 웹 하드

3-6.5.      공통 레지스트리 키

 

3-7.    Messenger

3-7.1.      MSN Messenger

3-7.2.      Nateon

3-7.3.      Yahoo

3-7.4.      AOL Instant Messenger (AIM)

3-7.5.      Windows Messenger

 

3-8.    Outlook and Outlook Express

 

4.       레지스트리에서 공격자의 흔적 찾기

4-1.    루트킷 탐지

4-1.1.      도입

4-1.2.      레지스트리 Hives (SYSTEM, SOFTWARE)

4-1.3.      로우 레벨 Data 획득

4-1.4.      Helios 툴을 이용한 Cross-View 탐지

4-1.5.      한계

 

4-2.    자동실행( Autoruns), 시작 프로그램(Startup) 관련

4-2.1.      일반적인 autuorun locations 목록

4-2.2.      SharedTaskScheduler

4-2.3.      Shell\Open\Command

4-2.4.      ShellServiceObjectDelayLoad(SSODL)

4-2.5.      SYTEM.INI /  WIN.INI File

4-2.6.      ShellExecute Hook

4-2.7.      AppInit_DLL 레지스트리 값 자동 실행

4-2.8.      AppInit_DLLs

4-2.9.      Winlogon Notification Package

4-2.10.     UserInit Key

4-3.    Internet Explorer 관련

4-3.1.      Browser Helper Object (BHO)

4-3.2.      IE Start page/search page/search bar/search assistant URL

4-3.3.      Default URL Searchhook

4-3.4.      IE Options access restricted by administrator

4-3.5.      Extra Items in IE right-click menu

4-4.    기타 포렌식 관점으로 주시할 사항

4-4.1.      Windows Services

4-4.2.      Hidden Resource configuration

4-4.3.      Hosts 파일 (Domain Hijack)

4-4.4.      Regedit access restricted by administrator

4-4.5.      Event Log Restrictions

4-4.6.      URL Default Prefix Hijack

4-4.7.      WinSock LSP (Layered Service Provider)

4-4.8.      가상메모리 파일 자동삭제

4-4.9.      실행 파일을 다른 프로그램으로 연결

4-4.10.     임시 폴더 및 공유 폴더

 

5.       레지스트리 복구

5-1.    Registry Key Recovery

5-1.1.      레지스트리 키 복구 원리

5-1.2.      레지스트리 키 삭제 매커니즘

5-1.3.      Reglookup-recover을 이용한 삭제된 키 복구

5-2.    Restore Point (RP)

5-2.1.      개요

5-2.2.      설정 상태 확인

5-2.3.      Restore Point 위치

5-2.4.      조사가 필요한 Restore Point 선택

5-2.5.      백업 파일 조사

5-2.6.      백업 레지스트리 조사

 

6.       Registry Forensic 관련 툴 소개

6-1.    Hijackthis

6-2.       SysinternalsSuits 중 Autoruns

6-3.       Registry Viewer

6-4.       Paraben Registry Analyzer

6-5.       Regripper

6-6.       Regshot

6-7.       Regmon

 

6.       결론

 

7.       참고문헌