[Registry 분석]
hklm\system\controlset00x\control\windows
* app 사용 흔적
hkcu\software\microsoft\windows\currentVersion\Explorer\UserAssist
CE ~ 실행시킨 응용프로그램 정보
F4 ~ 실행시킨 응용프로그램 정보 ( 시작메뉴 )
--> ROT-13 알고리즘으로 encrypted
0~3 : 세션번호
4~7 : 실행횟수
60~67 : 마지막 실행 시간 ( time decoder )
* 그림판, 워드패드에서 열어본 목록
HKCU\software\Microsoft\Windows\Applets\ %APPNAME% \Recent File List
* 실행 창 입력 목록
hkcu\software\microsoft\windows\currentVersion\Explorer\runMRU
* 저장 매체 연결 흔적
HKLM\system\controlset00x\enum\USBSTOR\[DID]
C:\Windows\INF\setupapi.dev.log
* 열어본 폴더
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
* prompt 실행 시 자동으로 실행되는 s/w ('autorun' 으로 자동 실행되는 툴 모두 뽑아낼 수 있음)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
Registry 분석 도구 --> REGA : http://forensic.korea.ac.kr
[Web Browser]
* IE - webcacheVxx.dat
* Firefox - IE와 다르게 sqlite3 format 사용
History - places.sqlite
Cookie - cookies.sqlite
* Google Chrome
Typing url - Shortcuts
New Tap - TopsitesView
PLUS) broswer analyser tool
IECacheView
IECookieView
IEHistory
Indexdat Analyzer
BrowsingHistoryView
sqlitebroswer
EseDbViewer
[ETC]
- Link File analyser - Link parser
- Thumbnail - Thumbs.db VIewer
- Icon Cache - IconCache Viewer (%Appdata%\Local\IconCache.db)
- Prefetch - winPrefetch
- Jump List - JumpListsView (www.nirsoft.net)
- LastActiveView
[Windows Image Analyzing]
0. 메모리 덤프(dumpit) 후 volatility로 분석
1. 사용자가 했을 행위 분석 -> ex) Recent, registries, UserAssist
2. 한글 / PDF 등 문서 열어본 흔적
3. 웹은 Browser analyser tool 이용
4. %tmp%vmware-%USER%\VM-DND
5. 작업 스케줄러
6. autorun
7. MFT / LastActiveView 분석
8. 삭제된 파일이 있는지 확인(FTK Imager 에서 X자로 나옴)
+ ) 사용자 계정 확인
+ ) VM 특징 -- > snapshot 날짜 확인 !
댓글