Forensic Artifacts
-
Windows Registry
Registry Artifacts
User Account
- 시스템 사용자 목록
- 시스템 사용자 프로필 목록
- 마지막으로 로그인한 사용자
- 각 사용자 별 기본 경로
시스템 사용자 목록
SAM 영역은 System 권한으로 확인해야 하기 때문에 Windows Registry Recovery 사용
SAM\SAM\Domain\Account\Users\{RID}
SAM\SAM\Domain\Account\Users\Names\{Accounts}
- 각 사용자의 계정 정보는 Users의 하위키인 {RID} 폴더의 F, V 값에 저장
| F 값 계정 정보 | V 값 계정 정보 |
|---|---|
| 최종 로그인 시각 (Offset 8 -15) | 로그인 계정 이름 |
| 패스워드 재설정 시각 (Offset 24 -31) | 전체 이름 |
| 계정 만료 시각 (Offset 32 -39) | 계정 설명 |
| 로그인 실패 시각 (Offset 40 -47) | LM 해쉬 |
| RID (SID의 마지막 식별 부분) | NT 해쉬 |
| 계정 상태 정보 | |
| 국가 코드 | |
| 로그인 실패 횟수 | |
| 로그인 성공 횟수 |
F / V 값 계정 정보
시스템 사용자 프로필 목록
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrnetVersion\ProfileList\{SID}
하위키인 사용자 {SID}별로 사용자 프로필 정보 저장
SID(Security Identifier) 보안 식별자
S-1-5-21-577077477-396997128-3300287745-1001
S-1-5-21-577077477-396997128-3300287745-1001
| SID 구분 | 설명 |
|---|---|
| S | SID를 나타내는 식별자 |
| 1 | SID 세부 버전 |
| 5 | 권한 식별자 |
| 21-577077477-396997128-3300287745 | 도메인이나 로컬 컴퓨터 식별자 |
| 1001 | RID(Relative ID)로 관리자 계정은 500, 사용자 계정은 1000번대 이상의 값 |
마지막으로 로그인 한 사용자
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
LastUsedUsername 값이 마지막으로 로그인한 사용자를 나타냄
각 사용자 별 기본 경로
HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders
MiTeC Windows Registry Recovery 분석
- 실제 레지스트리 경로를 찾아가 시스템 사용자 목록 확인
- 실제 레지스트리 경로를 찾아가지 않고 시스템 사용자 목록 확인 가능
- 실제 레지스트리 경로를 찾아가 시스템 사용자 프로필 목록 확인
- 실제 레지스트리 경로를 찾아가지 않고 시스템 사용자 프로필 정보 확인 가능
- 실제 레지스트리 경로를 찾아가 마지막으로 로그인한 사용자 정보 확인
- 실제 레지스트리 경로를 찾아가 각 사용자별 기본 경로 정보 확인
- 실제 레지스트리 경로를 찾아가지 않고 각 사용자별 기본 경로 정보 확인 가능
