Digital Forensics/Windows2020. 12. 31. 20:00
반응형

레지스트리 분석도구

  • RegRipper (by keydet89) : 텍스트 형태로 출력 (국내 도구)

github.com/keydet89/RegRipper3.0

 

keydet89/RegRipper3.0

RegRipper3.0. Contribute to keydet89/RegRipper3.0 development by creating an account on GitHub.

github.com

 

  • Registry Explorer (by Eric Zimmerman) : 세계에서 가장 많이 사용함. GUI

ericzimmerman.github.io/#!index.md

 

Eric Zimmerman's tools

 

ericzimmerman.github.io

 

  • REGA (업데이트X)

forensic.korea.ac.kr/DFWIKI/index.php/REGA(Registry_Analyzer)

 

REGA(Registry Analyzer) - Digital Forensic Wikipedia

REGA는 4&6Tech에서 개발한 레지스트리 분석 도구로 유료이다. 마지막 업데이트는 2013년 10월 22일이며, 최신 버전은 1.5.0.4버전이다. REGA는 GUI기반이며 Windows운영체제에서 사용 가능하다. REGA는 [표 1]

forensic.korea.ac.kr

 

  • X-ways : 기본적인 분석 가능. 특히, 사용자 정의 포맷으로 레포트를 내보낼 있다는 점이 장점

 

 

Windows 10에서 새로 봐야하는 Registry

  • Windows 10부터는 Registry Transaction 수행함 (.log 파일도 수집해서 분석해야함!)

c.f) https://www.fireeye.com/blog/threat-research/2019/01/digging-up-the-past-windows-registry-forensics-revisited.html

 

Digging Up the Past: Windows Registry Forensics Revisited

Learn about using Windows registry data when performing forensic analysis of computer networks.

www.fireeye.com

 

  • bam (=background application manager)

c.f) BAM/DAM

Description Windows Background Activity Moderator (BAM) Location Win10: SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID} SYSTEM\CurrentControlSet\Services\dam\UserSettings\{SID} Investigative Notes Provides full path of the executable file that was run on the system and last execution date/time

 

  • Shimcache

SYSTEM\ControlSet001\Control\Session Manager\AppCompatCache

(윈도우10 호환성 문제로 대체 API 실행한 흔적 -> Malware 흔적을 확인할 있음)

Description • Windows Application Compatibility Database is used by Windows to identify possible application compatibility challenges with executables. • Tracks the executables file name, file size, last modified time, and in Windows XP the last update time

Location XP: SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatibility Win7/8/10: SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache

Interpretation: Any executable run on the Windows system could be found in this key. You can use this key to identify systems that specific malware was executed on. In addition, based on the interpretation of the time-based data you might be able to determine the last time of execution or activity on the system. • Windows XP contains at most 96 entries - LastUpdateTime is updated when the files are executed • Windows 7 contains at most 1,024 entries - LastUpdateTime does not exist on Win7 systems

 

c.f) Windows 10 Timeline

Description Win10 records recently used applications and files in a “timeline” accessible via the “WIN+TAB” key. The data is recorded in a SQLite database.

Location C:\Users\\AppData\Local\ConnectedDevices Platform\L.\ActivitiesCache.db

Interpretation • Application execution • Focus count per application

 

  • RecentApps

Description GUI Program execution launched on the Win10 system is tracked in the RecentApps key

Location Win10: NTUSER.DAT\Software\Microsoft\Windows\Current Version\Search\RecentApps

Interpretation Each GUID key points to a recent application. AppID = Name of Application LastAccessTime = Last execution time in UTC LaunchCount = Number of times executed

반응형
Posted by CCIBOMB
반응형

 

○ 목     차 ○

 

1.    도입

 

2.     레지스트리

2-1.    레지스트리 정의

 

2-2.    레지스트리를 통해 알 수 있는 정보

 

2-3.    레지스트리의 구성

2-3.1.      HKLM(HKEY_LOCAL_MACHINE)

2-3.2.      HKU(HKEY_USERS)

2-3.3.      HKCU(HKEY_CURRENT_USER)

2-3.4.      HKCC(HKEY_CURRENT_CONFIG)

2-3.5.      HKCR(HKEY_CLASS_ROOT)

 

2-4.    하이브 파일 (Hive File)

2-4.1.      하이브 파일 (Hive File)의 정의

2-4.2.      레지스트리 하이브 (Registry Hive)의 구성

2-4.3.      HKEY_LOCAL_MACHINE 4가지 Hive File

2-4.4.      HKEY_USERS 2가지 Hive File

 

3.       레지스트리를 로그로 활용하기

3-1.    Offline System 레지스트리의 LastWrite time확인 (Encase 이용)

3-1.1.      원하는 레지스트리에 해당하는 Hive File을 찾아간다.

3-1.2.      해당 경로로 찾아가서 오른쪽 버튼 – View File Structure

3-1.3.      Hive File 익스포팅 후 별도의 툴 활용하기

 

3-2.    어플리케이션 관련 최근 사용 흔적

3-2.1.      최근 실행 목록(MRU lists, most recently used)

3-2.2.      최근 삭제한 목록

3-2.3.      특정 파일, 어플리케이션의 사용자 접근

3-3.    시스템 정보

3-3.1.      USB 장치 (USB Memory, PDA, 핸드폰 등)

3-3.2.      마운트한 장치들

3-3.3.      기타 포렌식 관점으로 주시할 사항

 

3-4.    네트워크

3-4.1.      무선 네트워크

3-4.2.      로컬 네트워크

3-4.3.      Intelliforms(자동완성기능)

3-4.4.      기타 포렌식 관점으로 주시할 사항

 

3-5.    웹 브라우져

3-5.1.      인터넷 익스플로러

3-5.2.      Opera

3-5.3.      Netscape, FireFox

 

3-6.    P2P 클라이언트

3-6.1.      Limewire

3-6.2.      Kazaa

3-6.3.      Morpheus

3-6.4.      기타 국내 P2P 및 웹 하드

3-6.5.      공통 레지스트리 키

 

3-7.    Messenger

3-7.1.      MSN Messenger

3-7.2.      Nateon

3-7.3.      Yahoo

3-7.4.      AOL Instant Messenger (AIM)

3-7.5.      Windows Messenger

 

3-8.    Outlook and Outlook Express

 

4.       레지스트리에서 공격자의 흔적 찾기

4-1.    루트킷 탐지

4-1.1.      도입

4-1.2.      레지스트리 Hives (SYSTEM, SOFTWARE)

4-1.3.      로우 레벨 Data 획득

4-1.4.      Helios 툴을 이용한 Cross-View 탐지

4-1.5.      한계

 

4-2.    자동실행( Autoruns), 시작 프로그램(Startup) 관련

4-2.1.      일반적인 autuorun locations 목록

4-2.2.      SharedTaskScheduler

4-2.3.      Shell\Open\Command

4-2.4.      ShellServiceObjectDelayLoad(SSODL)

4-2.5.      SYTEM.INI /  WIN.INI File

4-2.6.      ShellExecute Hook

4-2.7.      AppInit_DLL 레지스트리 값 자동 실행

4-2.8.      AppInit_DLLs

4-2.9.      Winlogon Notification Package

4-2.10.     UserInit Key


4-3.    Internet Explorer
관련

4-3.1.      Browser Helper Object (BHO)

4-3.2.      IE Start page/search page/search bar/search assistant URL

4-3.3.      Default URL Searchhook

4-3.4.      IE Options access restricted by administrator

4-3.5.      Extra Items in IE right-click menu


4-4.   
기타 포렌식 관점으로 주시할 사항

4-4.1.      Windows Services

4-4.2.      Hidden Resource configuration

4-4.3.      Hosts 파일 (Domain Hijack)

4-4.4.      Regedit access restricted by administrator

4-4.5.      Event Log Restrictions

4-4.6.      URL Default Prefix Hijack

4-4.7.      WinSock LSP (Layered Service Provider)

4-4.8.      가상메모리 파일 자동삭제

4-4.9.      실행 파일을 다른 프로그램으로 연결

4-4.10.     임시 폴더 및 공유 폴더

 

5.       레지스트리 복구

5-1.    Registry Key Recovery

5-1.1.      레지스트리 키 복구 원리

5-1.2.      레지스트리 키 삭제 매커니즘

5-1.3.      Reglookup-recover을 이용한 삭제된 키 복구

5-2.    Restore Point (RP)

5-2.1.      개요

5-2.2.      설정 상태 확인

5-2.3.      Restore Point 위치

5-2.4.      조사가 필요한 Restore Point 선택

5-2.5.      백업 파일 조사

5-2.6.      백업 레지스트리 조사

 

6.       Registry Forensic 관련 툴 소개

6-1.    Hijackthis

6-2.       SysinternalsSuits Autoruns

6-3.       Registry Viewer

6-4.       Paraben Registry Analyzer

6-5.       Regripper

6-6.       Regshot

6-7.       Regmon

 

6.       결론

 

7.       참고문헌

 

반응형
Posted by CCIBOMB
반응형

 

○ 목차


1. 레지스트리
1-1. 레지스트리 정의
1-2. 레지스트리를 통해 알 수 있는 정보
1-3. 레지스트리의 구성

2. 하이브파일
2-1. 하이브파일 정의 및 구성
2-2. 하이브파일 찾아가기
2-2-1. Windbg 이용하여 직접 찾아가기
2-2-2. Volatility tool 사용하여 찾아가기
2-3. Encase로 hive file이용하여 registry 확인하기


3. 악성코드 감염 등에 따른 레지스트리 분석시 주시 사항 (관련 tool 소개)


4. 참고문헌

반응형

'논문(Paper) > 사이버범죄연구' 카테고리의 다른 글

ADS 탐지  (0) 2010.11.22
FAT32 파일시스템 에서의 MAC Time 조작  (0) 2010.11.22
USB 접속 탐지  (0) 2010.11.22
DKOM 탐지 기법  (0) 2010.11.22
SSDT Hooking 탐지 기법  (1) 2010.11.22
Posted by CCIBOMB