[Kevin’s Attic for Security Research]

Windows Registry Artifacts

kevinkoo001@gmail.com DO NOT FORGET TO REMAIN THE ORIGINAL SOURCE WHEN YOU MAKE USE OF THIS MATERIAL OR (RE)DISTRIBUTE IT.

2

What to Cover

Kevin’s Attic for Security Research

1. What is Registry?

2. Location and Components

3. Root Keys

4. Hive Structure

5. Windows Registry Artifacts

Basic System Information, Installed Software List, MRU List, USB Information,

Mounted Devices, Timezone information, Shared Resources, Mapped

Network Drives, Startup Services, Internet Explorer, Wireless SSIDs, Network

Interfaces, SAM, UserAssist (Application Usage), Shellbags, Explorer Searches,

RDP Connection Information, Hardware Information, Restore Point

[References]

3

General Information

Windows Registry Artifacts

Digital Forensic

• What is registry?

http://en.wikipedia.org/wiki/Windows_Registry

광활한 Microsoft Windows 운영체제 정보 저장소

운영체제와 프로그램 구성 데이터의 계층형 데이터베이스 (Hierarchical Database in binary)

Drawbacks: 단일 실패점 (SPoF, Single Point of Failure)

Booting/Login Process, Service/Application Execution, User Activities, …

“마지막 성공 구성 설정” 저장/복구 가능

Windows 3.11 이후부터 사용

[References]

4

Location

Windows Registry Artifacts

Digital Forensic

• Location

HKLM

HKU

%SYSTEMROOT%\System32\Config\, %SYSTEMROOT%Document and Settings\[Account]

[References]

5

Components

Windows Registry Artifacts

Digital Forensic

• Components (regedit.exe)

Key

Subkey

Value Type Data

[References]

6

Root Keys

Windows Registry Artifacts

Digital Forensic

• Registry Root Keys

HKEY_CLASSES_ROOT: 파일과 COM(Component Object Model) 객체 등록 정보

HKEY_CURRENT_USER: 시스템에 로그인한 사용자 Profile

HKEY_LOCAL_MACHINE 시스템 하드웨어, 소프트웨어 설정과 환경 정보

HKEY_USERS 시스템 모든 사용자와 그룹 Profile

HKEY_CURRENT_CONFIG 시스템 시작에 사용되는 하드웨어 Profile

[References]

7

Root Keys

Windows Registry Artifacts

Digital Forensic

• Registry Root Keys

Master Key: HKEY_LOCAL_MACHINE , HKEY_USERS

Derived Key: HKEY_CLASSES_ROOT, HKEY_CURRENT_USER , HKEY_CURRENT_CONFIG

Key 설명

HKEY_CLASSES_ROOT (HKCR)

HKLM\SOFTWARE\Classes와 HKU\<SID>\Classes Symbolic Link Default Setting 과 개별 사용자 Setting 혼합

HKEY_CURRENT_USER (HKCU)

HKEY_USERS 사용자 프로파일 Hive 하위 키 Symbolic link Console 사용자 환경 구성

HKEY_LOCAL_MACHINE (HKLM)

System Hive, Memory Hive 모음 (SYSTEM, SOFTWARE, SAM, SECURITY)

대부분의 computer setting 정보 보관, Master Key

HKEY_USERS (HKU)

로그온 계정의 사용자 프로파일 hive를 담고 있는 장소 (NTUSER.DAT) Console 사용자와 다른 사용자 환경 구성, 최소 3개 subkey (.DEFAULT, SID, SID_Classes)

HKEY_CURRENT_CONFIG (HKCC)

현재 하드웨어 정보(Profile)를 가지고 있는 키 Symbolic link (HKLM \SYSTEM\CurrentControlSet\Control\IDConfigDB\Hardware Profiles 하위)

HKEY_DYN_DATA 데이터 탐색 성능을 위한 장소이며 물리적 hive는 존재하지 않음

http://technet.microsoft.com/en-us/library/cc750583.aspx

8

Windows Registry Artifacts

Digital Forensic

• Root Keys

• Registry Root Keys - HKCU

HKCU: HKU 하위 Profile 중 현재 Login 사용자의 하위 키

[References]

• Registry Root Keys – HKCU Subkey

9

Root Keys

Windows Registry Artifacts

Digital Forensic

HKCU Subkey Details

AppEvents: 사운드, 이벤트 관련 CLSID: COM 객체 연결 정보 Console: 명령 프롬프트 윈도우 설정 정보 ControlPanel: 데스크탑 테마, 키보드/마우스 환경 설정 정보 Environment: 환경 변수 정의 EUDC: 최종 사용자가 정의한 문자 정보 Identities: 윈도우 메일 계정 정보 Keyboard Layout: 키보드 레이아웃 설정 정보 Network: 네트워크 드라이브 매핑 정보, 환경 설정 값 Printers: 프린트 연결 설정 Session Information: 작업표시줄 표시 현재 실행 프로그램 설정 Software: 로그인한 사용자 소프트웨어 목록 System: HKLM/SYSTEM 하위키의 일부 (Control, Policies, Services) UNICODE Program Groups: 로그인 사용자 시작 메뉴 그룹 정의 Volatile Environment: 휘발성 환경 변수

http://forensic-proof.com/archives/1515

10

Windows Registry Artifacts

Digital Forensic

• Registry Root Keys – HKLM

• Root Keys

HKLM: 시스템 전체 Hardware, Software 설정과 환경 정보

[References]

• Registry Root Keys – HKLM Subkey

11

Root Keys

Windows Registry Artifacts

Digital Forensic

HKLM Subkey details

BCD00000000 Boot Configuration Data 관리 (Windows XP Boot.ini 대체)

COMPONENTS 설치된 Components와 관련된 정보 관리

HARDWARE 시스템 하드웨어 description 모든 하드웨어의 장치 드라이버 mapping 정보 (Volatile)

SAM 로컬 계정 정보와 그룹 정보 시스템 계정만 접근 가능

SECURITY 시스템 보안 정책과 권한 할당 정보 시스템 계정만 접근 가능

SOFTWARE 시스템 부팅에 필요 없는 소프트웨어 정보

SYSTEM 시스템 부팅에 필요한 시스템 전역 구성 정보

http://forensic-proof.com/archives/1515

[References]

• Registry Root Keys – HKU

12

Root Keys

Windows Registry Artifacts

Digital Forensic

HKU: 모든 사용자의 Profile과 사용자 Class 등록 정보

Key Hive File Location

HKU\<LocalServices SID> XP - %UserProfile%\LocalService\NTUSER.DAT Vista/7 - %SystemRoot%\ServiceProfiles\LocalService\NTUSER.DAT

HKU\<NetworkServices SID> XP - %UserProfile%\NetworkService\NTUSER.DAT Vista/7 - %SystemRoot%\ServiceProfiles\NetworkService\NTUSER.DAT

HKU\<User SID> XP - %UserProfile%\<UserName>\NTUSER.DAT Vista/7 - %UserProfile%\NTUSER.DAT

HKU\<User SID>_Classes XP - %UserProfile%\<UserName>\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Vista/7 .%UserProfile%\AppData\Local\Microsoft\Windows\UsrClass.dat

HKU\.DEFAULT %SystemRoot%\System32\Config\DEFAULT

http://forensic-proof.com/archives/1515

[References]

13

(Hive) Files

Windows Registry Artifacts

Digital Forensic

• Registry (Hive) Files

6개의 물리적 파일과 2개의 휘발성 파일로 구성

http://kevin9life.blogspot.kr/2012/09/demystifying-registry-1.html

Registry Path File Path

HKLM\System %WINDIR%system32\config\SYSTEM

HKLM\SAM %WINDIR%system32\config\SAM

HKLM\Security %WINDIR%system32\config\SECURITY

HKLM\Software %WINDIR%system32\config\SOFTWARE

HKLM\Hardware 휘발성 Hive

HKLM\System\Clone 휘발성 Hive

HKEY_USERS\User SID 사용자 Profile (NTUSER.DAT) "Document and Settings\User" (WinXP), "Users\User" (Vista 이후)

HKEY_USERS\Default %WINDIR%system32\config\DEFAULT

[References]

14

(Hive) Files

Windows Registry Artifacts

Digital Forensic

• Registry (Hive) Files

HKLM\SYSTEM\CurrentControlSet\Control\hivelist

http://kevin9life.blogspot.kr/2012/09/demystifying-registry-1.html

[References]

15

Hive Structure

Windows Registry Artifacts

Digital Forensic

• Hive Structure (1/4)

Cell Data Type

Key cell 키를 저장하고, 키 노드라고도 부름 (Signature: 키-kn, 심볼릭 링크-kl) * 키가 최종 업데이트된 timestamp (LastWrite)

Value cell 키 값과 데이터를 저장하는 셀 (Signature : kv) * 유형: REG_DWORD, REG_BINARY 등

Subkey-list cell 키 셀을 가리키는 일련의 인덱스로 구성

Value-list cell 값 셀을 가리키는 일련의 인덱스로 구성

Security-descriptor cell 보안 식별자를 가지고 있는 셀 (Signature: ks)

http://sentinelchicken.com/data/TheWindowsNTRegistryFileFormat.pdf

[References]

16

Hive Structure

Windows Registry Artifacts

Digital Forensic

• Hive Structure (2/4)

http://technet.microsoft.com/en-us/library/cc750583.aspx

Hive File은 Block (4,096Byte = 4KB) 단위로 Data를 저장함

가장 처음은 Base Block (=Hive File Header, 4KB)와 Empty Bin (4KB)이 자리잡고 있음

그 이후부터는 모두 Hive Bin이라는 연속적인 논리적 구조가 이어짐

[References]

• Hive Structure (3/4)

17

Hive Structure

Windows Registry Artifacts

Digital Forensic

Base Block (=Hive File Header, 4KB) 의 Signature는 regf임

http://forensic-proof.com/archives/1515

[References]

• Hive Structure (4/4)

18

Hive Structure

Windows Registry Artifacts

Digital Forensic

Hive Bin(4KB) 의 Signature는 hbin임

Timestamp는 LastWrite 시간이며 Registry Key의 생성/변경/접근/삭제 시 Update!

(Registry value의 LastWrite 시간은 알 수 없음)

http://forensic-proof.com/archives/1515 http://www.forensicfocus.com/downloads/windows-registry-quick-reference.pdf

[References]

19

Artifacts > System information

Windows Registry Artifacts

Digital Forensic

• Registry Artifacts at a glance

Basic System Information

Installed Software List

MRU List

USB Information

Mounted Devices

Timezone information

Shared Resources

Mapped Network Drives

Startup Services

Internet Explorer

Wireless SSIDs

Network Interfaces

SAM

UserAssist (Application Usage)

Shellbags

Explorer Searches

RDP Connection Information

Hardware Information

Restore Point

Many Other Application Artifacts…

[Lessons Learned or Notes]

• Artifacts - System Information

20

Artifacts > System information

Windows Registry Artifacts

Digital Forensic

HIVE: SYSTEM, SOFTWARE

Computer Name

HKLM\SYSTEM\ControlSet\Control\ComputerName\ComputerName

HKLM\SYSTEM\ControlSet00[#]\Control\ComputerName\ActiveComputerName

Shutdown Time

HKLM\SYSTEM\ControlSet00[#]\Control\Windows

System Information

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion

ComputerName은 제어판 시스템 또는 cmd.exe에서 hostname 명령어를 통해 알 수 있다.

[Lessons Learned or Notes]

• Artifacts - Installed Software List

21

Artifacts > Installed Software

Windows Registry Artifacts

Digital Forensic

HIVE: SOFTWARE

Uninstall Information

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

Standalone Software의 경우 알 수 없다.

[References]

22

Artifacts > MRU Lists (Recent Accessed Items)

Windows Registry Artifacts

Digital Forensic

• Artifacts – MRU Lists in Windows (1/4)

HIVE: NTUSER.DAT

Recent Docs

NTUSER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

많은 binary 정보로 구성, timeline을 만드는데 추가정보 제공, MRUListEx는 순서 유지

• Artifacts – MRU Lists in Windows (2/4)

23

Artifacts > MRU Lists (Recent Accessed Items)

Windows Registry Artifacts

Digital Forensic

HIVE: NTUSER.DAT

Recent Runs

NTUSER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

[Lessons Learned or Notes]

• Artifacts – MRU Lists in Applications (3/4)

24

Artifacts > MRU Lists (Recent Accessed Items)

Windows Registry Artifacts

Digital Forensic

HIVE: NTUSER.DAT

Adobe Acrobat Reader

NTUSER\Software\Adobe\Adobe Acrobat\[VER]\AVGeneral\cRecentFiles

Office Documents

NTUSER\Software\Microsoft\Office\[VER]\{Word, Excel, Powerpoint}\File MRU

NTUSER\Software\Microsoft\Office\[VER]\{Word, Excel, Powerpoint}\Place MRU

Wallpaper

NTUSER\Software\Microsoft\Windows\CurrentVersion\Explorer\Wallpaper\MRU

최근 실행문서나 바로가기(lnk)와 함께 참조해서 확인 필요

[Lessons Learned or Notes]

• Artifacts – MRU Lists in Applications (4/4)

25

Artifacts > MRU Lists (Recent Accessed Items)

Windows Registry Artifacts

Digital Forensic

HIVE: NTUSER.DAT

Wordpad

NTUSER\Software\Microsoft\Windows\CurrentVersion\Applets\wordpad\Recent File List

버전별 한글

(2005) NTUSER\SOFTWARE\HNC\Hwp\6.5\RecentFile

(2007) NTUSER\SOFTWARE\HNC\Hwp\7.0\HwpFrame\RecentFile

(2010) NTUSER\SOFTWARE\HNC\Hwp\8.0\HwpFrame\RecentFile

Media Player

NTUSER\Software\Microsoft\MediaPlayer\Player\RecentFileList

NTUSER\Software\Microsoft\MediaPlayer\Player\RecentURLList

최근 실행문서나 바로가기(lnk)와 함께 참조해서 확인 필요

• Artifacts – USB information* (1/7)

26

Artifacts > USBs

Windows Registry Artifacts

Digital Forensic

HIVE: SYSTEM

HKLM\SYSTEM\ControlSet\Enum\USBStor

Device Class ID: Vendor 정보, 제품명, Revision number 표시

Disk&Ven_[vendor_info]&Prod_[product_name]&_Rev_[revision_num]

Unique Instance ID: Device Class ID 하위 키로 Serial 정보 여부에 따라 두 가지로 분류

(1) Serial Number가 있을 경우: [Serial_Number]&#

(2) Serial Number가 없을 경우: #&[PnP_Generation_Number]&#

USBStor 키의 경우 마지막 수정시간(Last Written Time)이 Windows 보안정책에 의해 임의 갱신될 수 있음

• Artifacts – USB information* (2/7)

27

Artifacts > USBs

Windows Registry Artifacts

Digital Forensic

HIVE: SYSTEM

HKLM\SYSTEM\ControlSet\Enum\USB

제조사 ID, 제품 ID 표시

VID_[vendor_id]&PID_[product_id]

USB 키의 경우 마지막 수정시간(Last Written Time)이 Windows 보안정책에 의해 임의 갱신될 수 있음

• Artifacts – USB information* (3/7)

28

Artifacts > USBs

Windows Registry Artifacts

Digital Forensic

HIVE: SYSTEM

Volume Name of each Connection

HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices

하위 키는 Product Name 이나 Serial Number를 포함하고 있으므로 이 정보로 검색

FriendlyName 값의 경우 장치명 설정이 존재하면 그 값을, 아닐 경우 연결 Volume명을 가짐

Volume명의 경우 다른 장치를 꽂을 때 동일하게 할당할 수 있으므로 유의해야 함

• Artifacts – USB information* (4/7)

29

Artifacts > USBs

Windows Registry Artifacts

Digital Forensic

HIVE: SYSTEM

Booting 이후 최초 연결 시각 검색 (최종수정시간)

HKLM\SYSTEM\CurrentControlSet\Control\DeviceClasses\{GUID}

(Disk) {53f56307-b6bf-11d0-94f2-00a0c91efb8b}

(Volume) {53f5630d-b6bf-11d0-94f2-00a0c91efb8b}

(USB) {a5dcbf10-6530-11d2-901f-00c04fb951ed}

(Portable Device) {6ac27878-a6fa-4155-ba85-f98f491d4f33}

하위 키는 Product Name 이나 Serial Number를 포함하고 있으므로 이 정보로 검색

• Artifacts – USB information* (5/7)

30

Artifacts > USBs

Windows Registry Artifacts

Digital Forensic

HIVE: SYSTEM, NTUSER.DAT

Booting 이후 마지막 연결 시각 검색 (최종수정시간)

HKU\[USER]\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoint2

HKLM\SYSTEM\ControlSetXXX\Enum\USB\VID_[vendor_id]&PID_[product_id]

하위 키는 Product Name 이나 Serial Number를 포함하고 있으므로 이 정보로 검색

• Artifacts – USB information* (6/7)

31

Artifacts > USBs

Windows Registry Artifacts

Digital Forensic

USBDView from Nirsoft

[References]

32

Artifacts > USBs

Windows Registry Artifacts

Digital Forensic

• Artifacts – USB information* (7/7)

C:\windows\setup.api

[References]

33

Artifacts > Mounted Devices

Windows Registry Artifacts

Digital Forensic

• Artifacts – Mounted Devices

HIVE: SYSTEM

HKLM\SYSTEM\MountedDevices

ParentIdPrefix 값을 이용해 USBSTOR과 MountedDevices 키의 상관관계를 알 수 있음

ParentIdPrefix

[References]

• Artifacts – Timezone Information (1/2)

34

Artifacts > Timezone Information

Windows Registry Artifacts

Digital Forensic

HIVE: SYSTEM

HKLM\SYSTEM\ControlSet\Control\TimeZoneInformation

GMT(Greenwich Mean Time) & DST(Daylight Saving Time) Information

http://msdn.microsoft.com/en-us/library/ms725481.aspx

[References]

35

Artifacts > Timezone Information

Windows Registry Artifacts

Digital Forensic

• Artifacts – Timezone Information (2/2)

HIVE: SYSTEM

HKLM\SYSTEM\ControlSet\Control\TimeZoneInformation

http://forensic-proof.com/archives/321 http://forensicinsight.org/wp-content/uploads/2012/10/INSIGHT-Digital-Times.pdf

Value Name Data Type Description

ActiveTimeBias 32bit 정수 현재 시스템 시간 (GMT + 분 offset)

Bias 32bit 정수 시간대 설정에 기반 (GMT + 분 offset)

DaylightBias 32bit 정수 시간대 설정에 기반 (일광절약제 적용, GMT + 분 offset)

DaylightName Unicode Text String 시간대 설정 이름 (일광절약제 적용)

DaylightStart Binary (2Byte 구성, 이후 8Byte 무시)

일|월|주|시간 - 일: 2Byte, 일요일(0) 기준, 0-6 - 월: 2Byte, 1월(1) 기준, 1-12 - 주: 2Byte, 1주차(1) 기준, 1-52 - 시간: 24시간 기준, 1-24

StandardBias 32bit 정수 시간대 설정에 기반 (표준시간 적용, GMT + 분 offset)

SandardName Unicode Text String 시간대 설정 이름 (표준시간 적용)

StandardStart Binary (4Byte 구성, 이후 8Byte 무시)

일|월|주|시간 (DaylightStart 참조) 예) 00 00 |0A 00 |05 00 |02 00 일요일 | 10월 | 5주차 | 2시

[References]

36

Artifacts > Shared Resources

Windows Registry Artifacts

Digital Forensic

• Artifacts – Shared Resources

HIVE: SYSTEM

Network Shares

HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares

Type=0 (Drive share), Type=1 (Print Queue share)

Special Purpose Parameters

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

공유폴더는 명령어 행에서 net share를 통해 알 수 있음

AutoShareServer: 숨김 관리 공유 생성 기능 제거

http://support.microsoft.com/kb/288164

[References]

37

Artifacts > Mapped Network Drive

Windows Registry Artifacts

Digital Forensic

• Artifacts – Mapped Network Drive

HIVE: NTUSER.DAT

Network Drive Connection (네트워크 드라이브 연결)

NTUSER\Software\Microsoft\Windows\CurrentVersion\Explorer\Map Network Drive MRU

사용자가 시스템에 추가한 Volume

NTUSER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

[References]

38

Artifacts > Startup services

Windows Registry Artifacts

Digital Forensic

• Artifacts – Startup Services (1/3)

HIVE: SOFTWARE

Startup services in oder when a user login

1. HKLM\ SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

2. HKLM\ SOFTWARE\Microsoft\Windows\CurrentVersion\Ploicies\Explorer\Run

3. HKLM\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4. HKCU\ SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Run

5. HKCU\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run

6. HKCU\ SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

신규 사용자가 로그인할 때마다 1,3,5,6 분석 후 실행

RunOnce 값 (1,6)이 별표(*)로 시작하면 안전모드에서도 실행

[References]

39

Artifacts > Startup services

Windows Registry Artifacts

Digital Forensic

• Artifacts – Startup Services (2/3)

HIVE: SOFTWARE

Startup services user activities

HKLM\SOFTWARE\Classes\exefile\shell\open\command

HKCR\exefile\shell\open\command

일반적으로 위 경로에 기본값 "%1" %* 만 존재함 (ftype exefile 명령어로 확인 가능)

악성코드 등에서 자주 사용하는 방식

1. HKCR\Wordpad.Document.[version]\shell\open\command (문서를 더블 클릭할 때마다 실행)

2. HKLM\SOFTWARE\Microsoft\Command Processor\AutoRun (cmd.exe를 실행할 때마다 실행)

3. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

(GUI Application이 시작될 때마다 DLL을 memory 내로 Load함)

4. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

(사용자 로그온/로그오프, 화면보호기 시작 등 이벤트에 외부기능을 차단하는 알림 )

[References]

40

Artifacts > Startup services

Windows Registry Artifacts

Digital Forensic

• Artifacts – Startup Services (3/3)

HIVE: SYSTEM

Startup services when system booting

HKLM\SYSTEM\CurrentControlSet\Services

시스템 시작 후 현재 ControlSet 값을 결정하고 해당 설정을 시작함 (Start=0x02)

[References]

41

Artifacts > Startup services

Windows Registry Artifacts

Digital Forensic

• Artifacts –Startup Services with Autoruns from sysinternals

• Artifacts –Startup Services with Autoruns from sysinternals

42

Artifacts > Startup services

Windows Registry Artifacts

Digital Forensic

Logon This entry results in scans of standard autostart locations such as the Startup folder for the current user and all users, the Run Registry keys, and standard application launch locations.

Explorer Select this entry to see Explorer shell extensions, browser helper objects, explorer toolbars, active setup executions, and shell execute hooks.

Internet Explorer This entry shows Browser Helper Objects (BHO's), Internet Explorer toolbars and extensions.

Services All Windows services configured to start automatically when the system boots.

Drivers This displays all kernel-mode drivers registered on the system except those that are disabled.

Scheduled Tasks Task scheduler tasks configured to start at boot or logon.

AppInit DLLs This has Autoruns shows DLLs registered as application initialization DLLs.

Boot Execute Native images (as opposed to Windows images) that run early during the boot process.

Image Hijacks Image file execution options and command prompt autostarts.

Known DLLs This reports the location of DLLs that Windows loads into applications that reference them.

Winlogon Notifications Shows DLLs that register for Winlogon notification of logon events.

Winsock Providers Shows registered Winsock protocols, including Winsock service providers.

LSA Providers Shows registers Local Security Authority (LSA) authentication, notification and security packages.

Printer Monitor Drivers Displays DLLs that load into the print spooling service.

Sidebar Displays Windows Vista sidebar gadgets

[References]

43

Artifacts > Startup services

Windows Registry Artifacts

Digital Forensic

• Artifacts –Startup Services with Built-in system configuration utility

msconfig

• Artifacts – Internet Explorer: Settings (1/4)

44

Artifacts > Internet Explorer

Windows Registry Artifacts

Digital Forensic

HIVE: NTUSER.DAT

Internet Explorer Start page, Search page, Toolbar 등 각종 세부 설정값 저장

NTUSER\Software\Microsoft\Internet Explorer\Main

[References]

45

Artifacts > Internet Explorer

Windows Registry Artifacts

Digital Forensic

• Artifacts – Internet Explorer: TypedURLs (2/4)

HIVE: NTUSER.DAT

Typed URLs in Internet Explorer (사용자가 직접 입력한 URL)

NTUSER\Software\Microsoft\Internet Explorer\TypedURLs

Windows Shell 내부 열기, 다른 이름으로 저장 대화상자 (CommonDialog32)

NTUSER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU

NTUSER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

[Lessons Learned or Notes]

• Artifacts – Internet Explorer: Download Directory (3/4)

46

Artifacts > Internet Explorer

Windows Registry Artifacts

Digital Forensic

HIVE: NTUSER.DAT

Download directory in Internet Explorer

NTUSER\Software\Microsoft\Internet Explorer\

http://forensicinsight.org/wp-content/uploads/2012/03/INSIGHT_Web-Browser-Forensics_Part1.pdf http://forensicinsight.org/wp-content/uploads/2012/03/INSIGHT_Web-Browser-Forensics-Part-II.pdf

• Artifacts – Internet Explorer: Stored Data (4/4)

47

Artifacts > Internet Explorer

Windows Registry Artifacts

Digital Forensic

HIVE: NTUSER.DAT

(Form Data) NTUSER\Software\Microsoft\Internet Explorer\IntelliForms\Storage1

(Account Data) NTUSER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2

[References]

48

Artifacts > Wireless SSIDs

Windows Registry Artifacts

Digital Forensic

• Artifacts – Wireless SSIDs

HIVE: SOFTWARE

Wireless Information

HKLM\SOFTWARE\Microsoft\WZCSVC\Parameters\Interfaces\[Interface Guid]

Windows Vista 이후부터 아래 경로에 저장

c:\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\[Interface Guid]

암호화한 키를 xml 파일에 저장함

[References]

49

Artifacts > Network Information

Windows Registry Artifacts

Digital Forensic

• Artifacts – Network Interfaces (1/2)

HIVE: SYSTEM, SOFTWARE

Network Information

HKLM\SYSTEM\ControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}

Network Cards

HKLM\Software\Microsoft\Windows NT\CurrentVersion\NetworkCards

Network Configuration

HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}

Network Interface

HKLM\SYSTEM\ControlSet00[n]\Services\Tcpip\Parameters\Interfaces

MAC

HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}

[References]

• Artifacts – Network Interfaces (2/2)

50

Artifacts > Network Information

Windows Registry Artifacts

Digital Forensic

[Lessons Learned or Notes]

• Artifacts – SAM (user accounts) (1/3)

51

Artifacts > SAM (User Accounts)

Windows Registry Artifacts

Digital Forensic

HIVE: SAM

HKLM\SAM\SAM\Domains\Account\Users\[RIDs]

HKLM\SAM\SAM\Domains\Account\Users\Names\[Accounts]

SAM 영역은 system 권한으로 실행해야 볼 수 있다. Sysinternals의 psexec를 이용하자. PsExec.exe -i -d –s c:\windows\regedit.exe

[References]

52

Artifacts > SAM (User Accounts)

Windows Registry Artifacts

Digital Forensic

• Artifacts – SAM (user accounts) (2/3)

개별 사용자 계정정보는 {RID}의 F, V 값에 저장함

http://forensic-proof.com/archives/1515

F value V value

• 최종 로그인 시각 [Offset 8-15] • 패스워드 재설정 시각 [Offset 24-31] • 계정 만료 시각 [Offset 32-39] • 로그인 실패 시각 [Offset 40-47] • RID (SID의 마지막 식별부분) • 계정 상태 정보 (활성 여부, 패스워드 설정 여부) • 국가 코드 (국제 전화 코드) • 로그인 실패 횟수 • 로그인 성공 횟수

• 로그인 계정명 • 전체 이름 • 계정 설명 • LM Hash • NT Hash

[References]

53

Artifacts > SAM (User Accounts)

Windows Registry Artifacts

Digital Forensic

• Artifacts – SAM (user accounts) (3/3)

HIVE: Software

User Profile Lists

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\{SID}

[References]

54

Artifacts > UserAssist

Windows Registry Artifacts

Digital Forensic

• Artifacts – UserAssist (1/3)

HIVE: SOFTWARE, NTUSER.DAT

HCU\[USER]\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

자주 사용하는 프로그램 바로가기, 시작 메뉴의 자주 사용하는 프로그램

실행횟수, 마지막 실행 시간 기록

ROT13 Encoding

http://rot13-encoder-decoder.waraxe.us/ http://commons.wikimedia.org/wiki/File:ROT13.png

Q:\Gbbyf\Zvfpryynarbhf\GvzrYbeq\Nccyvpngvba Svyrf\GvzrYbeq_0_1_5_6\GvzrYbeq.rkr D:\Tools\Miscellaneous\TimeLord\Application Files\TimeLord_0_1_5_6\TimeLord.exe

• Artifacts – UserAssist (2/3)

55

Artifacts > UserAssist

Windows Registry Artifacts

Digital Forensic

HCU\[USER]\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

Windows 2000/XP/Vista

{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count {75048700-EF1F-11D0-9888-006097DEACF9}\Count

Data Format in Windows 2000/XP/Vista

0-3: Session #

4-7: Application 실행 횟수 (기본값: 5)

8-15: 마지막 실행시간

• Artifacts – UserAssist (3/3)

56

Artifacts > UserAssist

Windows Registry Artifacts

Digital Forensic

HCU\[USER]\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

Windows 7

{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count {F4E57C4B-2036-45F0-A9AB-443BCFE33D9F}\Count

Data Format in Windows 7 0-3: Session # 4-7: Application 실행 횟수 (기본값 Application에 따라 다름) 60-67: 마지막 실행시간

[References]

57

Artifacts > Shellbags

Windows Registry Artifacts

Digital Forensic

• Artifacts – Shellbags

HIVE: NTUSER.DAT

HKCU\Software\Microsoft\Windows\ShellNoRoam

HKCU\Software\Microsoft\Windows\Shell

HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell (Windows Vista or higher)

• Artifacts – Windows Searches (1/2)

58

Artifacts > Windows Searches

Windows Registry Artifacts

Digital Forensic

HIVE: NTUSER.DAT

(WinXP) HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\[????]

Number Meaning

5001 인터넷 검색

5603 모든 파일 및 폴더 검색

5604 문서에 들어있는 단어 또는 문장, 그림/음악/비디오 검색

5647 컴퓨터 또는 사람 검색

• Artifacts – Windows Searches (2/2)

59

Artifacts > Windows Searches

Windows Registry Artifacts

Digital Forensic

HIVE: NTUSER.DAT

(Win7) HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery

Windows XP는 낮은 순번이 최근 검색인 반면

Windows 7의 경우 MRUListEx에서 사용 순서를 저장함

(Windows Vista는 검색어 목록을 registry에 담고 있지 않음)

• Artifacts – RDP Connection

60

Artifacts > RDP Connection

Windows Registry Artifacts

Digital Forensic

HIVE: NTUSER.DAT

HKU\{USER}\SOFTWARE\Microsoft\Terminal Server Client\Default

HKU\{USER}\SOFTWARE\Microsoft\Terminal Server Client\Servers

낮은 숫자가 최근 기록임

• Artifacts – Hardware Information

61

Artifacts > Hardware Information

Windows Registry Artifacts

Digital Forensic

HIVE: SYSTEM

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore

• Artifacts – Restore Points

62

Artifacts > Restore Points

Windows Registry Artifacts

Digital Forensic

HIVE: Software

HKLM\SYSTEM\ControlSet00[#]\Control\Class

HKLM\SYSTEM\ControlSet00[#]\Enum

63 Kevin’s Attic for Security Research