10장 윈도우 시스템 조사

<1> 레지스트리

 

윈도우 레지스트리 편집기

레지스트리 (Registry)

윈도우 운영체제와 응용프로그램 구도에 필요한 정보를 저장하는 계층형 데이터베이스

부팅과정, 로그인, 서비스 실행, 응용프로그램 실행, 사용자 행위 등 거의 모든 활동에 관여

특히, 원격접속흔적, 네트워크 연결흔적, 저장매체 사용흔적 등을 정보를 추가적으로 찾을 수 있음

 

 

 

하이브 (Hive)

최상위 폴더에 해당되는 부분 – 루트키

하위 폴더에 해당 되는 부분 – 서브키

각 키마다 파일에 해당되는 값 – 값 (Value)

 

 

 

하이브 파일 : 레지스트리의 물리적인 파일들

대표적인 파일: SAM, SECURITY, SYSTEM, SOFTWARE, NTUSER.DAT, USRCLASS.DAT, BCD, COMPONENTS

위 파일들이 하나의 세트를 구성하여 윈도우 레지스트리가 구성된다.

 

 

 

<2> 윈도우 아티팩트

 

1) 이벤트 로그

윈도우 운영체제는 시스템을 구동하면서 발생한 각종 이벤트를 이벤트 로그에 저장된다.

이벤트 로그는 사용자의 시스템 사용 행위를 분석하는데 활용됨.

 

응용프로그램 이벤트 : 응용 프로그램이나 기타 프로그램의 동작에 대한 이벤트

보안로그 : 유효하거나 유효하지 않은 로그온 시도, 파일의 생성/열람/삭제에 관련된 이벤트

시스템 로그 : 시스템 부팅 등 윈도우 시스템의 구성요소와 관련된 오류 이벤트

이벤트 로그의 경로: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\EverLog\이벤트로그종류

.evt 또는 .evts 확장자명을 가진다.

 

 

윈도우 이벤트 뷰어

 

이벤트 정보의 종류

오류 – 데이터 손실과 같은 중대한 문제로 시스템을 시작하는 동안 서비스가 로드되지 못했을 경우

경고 – 시스템에 문제가 발생할 수 있는 문제를 미리 알려주는 이벤트 기록

정보 – 응용 프로그램, 드라이버, 서비스가 성공적으로 수행되었음을 설명하는 이벤트

감사성공 – 사용자가 시스템에 성공적으로 로그온 했을 경우와 같이 보안 이벤트의 성공 여부를 출력

감사실패 – 사용자가 시스템에 로그온에 실패했을 경우와 같은 이벤트의 성공여부를 출력

 

 

 

이벤트 ID

528, 4642 – 로그온 성공

538, 4634 – 로그오프 성공

529 – 알 수 없는 계정이나 잘못된 암호를 이용한 로그인 시도

514 – LSA 인증 패키지 로드

516 – 저장 공간의 부족으로 인해 보안 이벤트 메시지 손실

6005 – 이벤트 시작

6006 – 이벤트 종료

 

 

 

프리패치(Pre Fetch)

프로그램의 실행 속도를 향상시키기 위해 윈도우에서 제공하는 기능

Pf 확장자를 가지며, 시스템 부팅 과정 및 응용 프로그램 실행과정이 기록되어 있는 로그

 

 

 

슈퍼패치(Super Fetch)

프리패치와 비슷하지만, 사용자가 해당 프로그램을 얼마나 자주, 언제, 얼마동안 사용하는지에 대한 사용 패턴을 기록한 뒤 메모리에 로드해두는 것을 목적으로 하는 기능

 

 

 

<3> 웹 브라우저

네이버웨일 브라우저의 폴더

웹 브라우저는 대부분의 인터넷 사용 내역을 웹 브라우저 로그 파일에 기록한다.

로그파일에서 중요한 정보는 Cache, History, Cookie, Download, Session 정보 등이 있다.

웹 브라우저의 종류로는 Internet Explorer, Mozilla Firefox, Google Chrome, Apple Safari 등이 있다. (점유율의 99%를 차지)

 

 

 

1) Cache

정보 웹 사이트를 접속할 때, 방문 사이트로부터 자동으로 웹 페이지 데이터를 다운 받는 것

즉, 해당 사이트를 재접속 할 때, 다운 받은 데이터를 사용하게 함으로써 속도를 증진시킨다.

다운로드 URL, 다운로드 시간, Cache 데이터 파일명, Cache 데이터의 크기 및 위치 등이 인덱스 정보에 기록된다.

 

 

 

 

네이버웨일 브라우저의 히스토리 파일

2) History

정보 사용자가 방문한 웹사이트 접속 내역

방문 사이트 URL, 방문 시간, 방문 횟수, 웹 페이지 제목 등의 정보를 포함

그 외에도 검색어, 아이디, 패스워드 등의 내용을 인자 값을 분석함으로써 파악가능

 

 

 

네이버웨일 브라우저의 쿠키파일

2) Cookie

웹 사이트가 사용자별로 개인화된 서비스를 제공하기 위해 사용자의 컴퓨터에 저장하는 데이터

쿠키정보 : 호스트, 경로, 쿠키, 수정시간, 쿠키 만료시간, 변수 명, 변수 값 등

 

호스트 -> 접속한 사이트

경로 -> 사용한 서비스 종류

쿠키 수정 시간 -> 해당 사이트의 마지막 접속 시간

변수와 변수 값 -> 로그인 아이디

분석을 통해 중요한 정보를 획득할 수도 있음.

 

 

 

 

3) Download List 정보

사용자가 의도적으로 선택해서 자신의 컴퓨터에 내려 받은 파일에 대한 정보

다운로드 파일의 로컬 저장경로, 다운로드 소스 URL, 다운로드 파일 크기, 다운로드 시간 등의 정보 저장

 

 

 

 

네이버웨일 브라우저의 Last Session 파일

4) Session정보

이전 세션을 복구하기 위해 사용자 컴퓨터에 저장되는 정보

비정상적으로 웹 브라우저가 종료되거나, 사용자가 원하는 경우 이전 세션을 복구하기 위해 사용된다.

URL, 세션 시작시간, 세션 종료 시간, 제목 등을 기록