FLAG
- 자동 실행되고 있는 exe 파일을 MD5 해시로 계산한 값을 이용함
Timezone 레지스트리 경로
- HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation
Bias : 현재 시스템 시간과 UTC 시간이 얼마나 차이나는지 분 단위로 나타냄
ex) Bias 값이 -540이면, 현재 컴퓨터 시간이 UTC보다 9시간 빠르다는 뜻이다. 540분은 9시간이니까, 현재 시간에서 9시간을 빼면 UTC 시간이 됩니다. 즉, Bias가 -540이면 우리 시간대가 UTC+9라는 의미! 😊
Systeminfo : 현재 시스템의 다양한 정보들을 알 수 있는 경로
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
|
BuildLab
|
OS 버전
|
|
InstallDate
|
Windows 설치 시간
→ 해당 컴퓨터를 사용하기 시작한 시간 추측 가능 |
|
InstallTime
|
Windows 설치 시간 상세
|
|
DisplayVersion
|
Windows 버전
|
https://www.digital-detective.net/digital-forensic-software/free-tools/
Free Digital Forensic Tools
Our collection of FREE Digital Forensic Analysis tools can be found here along with download links and information to get you started.
www.digital-detective.net
- DCode 도구를 활용해 시간 값을 쉽게 변환할 수 있음
1. 데이터 형식 설정
2. 값 입력
3. Decode 버튼 누르기
4. 해당 값 적절히 선택하기
- 원본 데이터로부터 얻은 값들을 little-endian 인 경우가 많고, 레지스트리 편집기와 같이 도구로부터 획득된 값들은 big-endian 인 경우가 많음.
Unix Timestamp
: Unix Timestamp는 1970년 1월 1일을 기준으로 현재까지 흘러간 초(second)를 계산해 시간 값을 제공하는 방법
- 각종 웹사이트를 비롯해 일반적으로 많이 사용하는 시간 계산 방법입니다.
Autoruns
: 컴퓨터가 재부팅될 때 자동으로 실행하는 프로그램
- 악성코드가 시스템 침투했을 때, 해당 경로에 실행 파일을 넣어두고 컴퓨터가 재부팅될 때마다 되살아나도록 하기 위해 자주 사용됨
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
사용자 계정
: 시스템에 존재하는 모든 사용자의 계정 목록 획득 가능
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
- 시스템 계정
- S-1-5-18 : systemprofile
- S-1-5-19 : LocalService
- S-1-5-20 : NetworkService
- 사용자 계정(사용자가 만든 계정은 단 1개 뿐)
- S-1-5-21-2597749115-3850017851-3674950291-1001
ProfileImagePath 필드
- 사용자의 홈 디렉토리
Sid
: 하나의 윈도우 시스템에서 별도 고유하게 부여되는 ID값
- Windows 계정의 SID (Security ID) 값을 획득할 수 있다.
- 맨 마지막 숫자 값에 주목할 것 !!!
관리자 계정 : 500 / 게스트 계정 : 501 / 일반 사용자 계정 1000이상
LocalProfileLoadTimeHigh 필드 - LocalProfileLoadTimeLow 필드 → 사용자의 최종 로그온 시각
LocalProfileUnloadTimeHigh 필드 - LocalProfileUnloadTimeLow 필드 → 사용자 계정의 최종 로그오프 시각
❕ 레지스트리로 얻은 값은 systeminfo 명령어로도 획득할 수 있다. 디스크 이미지를 통해 분석할 때에는 레지스트리에서 값을 획득하고, 활성 시스템을 분석할 때에는 아래 사진처럼 명령어를 통해 정보를 획득한다.
환경변수
: 프로세스가 컴퓨터에서 동작하는 방식에 영향을 미치는 동적인 값들의 모임
- 프로세스가 컴퓨터에서 잘 동작할 수 있도록 시스템에 미리 설정해 둔 변수
- 사용자 계정 환경 변수
- HKCU\Environment
- 시스템 환경 변수
- HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment
❗ 악성코드에서 스크립트 실행 시 환경변수에 특정 값들을 숨겨놓은 경우가 종종 있음
'Digital Forensics' 카테고리의 다른 글
| 디지털 포렌식 (Digital Forensics) (0) | 2025.03.31 |
|---|---|
| 저장장치 인터페이스 (0) | 2025.03.26 |
| 메모리 덤프 (0) | 2025.03.26 |
