c0msherl0ck.github.io

data leakage case #3, OS Information

Forensic/CFReDS-Data Leakage Case2018. 8. 10. 19:15

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html #3. Explain installed OS information in detail. (OS name, install date, registered owner…)

윈도우 OS 정보는 다음 레지스트리 경로에 있다.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion Tools 1) 이미지 내 레지스트리 획득 : Arsenal Image mounter, WinHex 2) 레지스트리 분석 : registry explorer 1. Arsenal Image Mounter 로 이미지 파일 마운팅하기

가. 왼쪽 하단의 mount image 를 클릭하고, 이미지 파일을 선택한다.

나. 다음과 같이 이미지 파일이 마운트 되어 있는 것을 확인할 수 있다.

이미지 마운팅을 하지 않고, Winhex 에서 이미지를 바로 연후, [Specialist]-[Interpret Image File As Disk]를 하여도 된다. 2. Winhex 에서 레지스트리 파일 추출하기

가. [Tools] - [Open disk]

나. Arsenal Virtual 클릭

다. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion 레지스트리 파일을 추출하여야 한다. [참고] "(FP) 레지스트리 포렌식과 보안 (Registry Forensics)"의 레지스트리 획득 부분 https://github.com/proneer/Slides/tree/master/Windows

레지스트리 파일은 hive 파일 형태로 저장되어 있으며, 윈도우 7의 레지스트리 파일 경로는 다음과 같다. 1) 운영체제 하이브 파일 위치 : %SystemRoot%\System32\Config 2) %UserProfile% 목록 확인 : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList 3) HKLM 레지스트리 경로별 하이브 파일 위치

HEKY_LOCAL_MACHINE\COMPONENTS : %SystemRoot%\System32\Config\COMPONENTS HEKY_LOCAL_MACHINE\SYSTEM : %SystemRoot%\System32\Config\SYSTEM HEKY_LOCAL_MACHINE\SAM : %SystemRoot%\System32\Config\SAM HEKY_LOCAL_MACHINE\SECURITY : %SystemRoot%\System32\Config\SECURITY HEKY_LOCAL_MACHINE\SOFTWARE : %SystemRoot%\System32\Config\SOFTWARE

4) USER 관련 레지스트리 경로별 하이브 파일 위치

HKEY_USERS\<SID of local service account> %SystemRoot%\ServiceProfiles\LocalService\NTUSER.DAT HKEY_USERS\<SID of network service account> %SystemRoot%\ServiceProfiles\NetworkService\NTUSER.DAT HKEY_USERS\<SID of username> %UserProfile%\NTUSER.DAT HKEY_USERS\<SID of username>_Classes %UserProfile%\AppData\Local\Microsoft\Windows\Usrclass.dat HKEY_USERS\.DEFAULT %SystemRoot%\System32\Config\DEFAULT


라. WinHex 에서 partition#2의 \Windows\System32\config 에서 components, system, sam, security, software 5개의 파일을 추출한다. [우클릭] - [Recover/Copy]

3. Registry Explorer 를 통한 분석

가. [File] - [Load offline hive] 나. Winhex 에서 추출한 5개의 파일을 로드한다. 다. 5개의 파일이 다 로드되면 다음과 같다. 라. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion 경로의 registry 를 보면 다음과 같다. ProductName : Windows 7 Ultimate InstallDate : 1427034866(unix time) = Sunday, March 22nd 2015, 14:34:26 (GMT+0) RegisteredOwner : informant

'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글

data leakage case #6, all accounts list  (0) 2018.08.10
data leakage case #5, computer name  (0) 2018.08.10
data leakage case #4, timezone  (0) 2018.08.10
data leakage case #2, partition info  (0) 2018.08.10
data leakage case #1,hash values of image file  (0) 2018.08.10

티스토리툴바