레지스트리 포렌식

디지털 포렌식 수사 기법

User Account

  • 시스템 사용자 목록
  • 시스템 사용자 프로필 목록
  • 마지막으로 로그인한 사용자
  • 각 사용자 별 기본 경로

시스템 사용자 목록

  • SAM 영역은 System 권한으로 확인해야 하기 때문에 Windows Registry Recovery 사용

SAM\SAM\Domain\Account\Users\{RID}
SAM\SAM\Domain\Account\Users\Names\{Accounts}

- 각 사용자의 계정 정보는 Users의 하위키인 {RID} 폴더의 F, V 값에 저장

F 값 계정 정보 V 값 계정 정보
최종 로그인 시각 (Offset 8 -15) 로그인 계정 이름
패스워드 재설정 시각 (Offset 24 -31) 전체 이름
계정 만료 시각 (Offset 32 -39) 계정 설명
로그인 실패 시각 (Offset 40 -47) LM 해쉬
RID (SID의 마지막 식별 부분) NT 해쉬
계정 상태 정보
국가 코드
로그인 실패 횟수
로그인 성공 횟수

F / V 값 계정 정보

시스템 사용자 프로필 목록

HKLM\SOFTWARE\Microsoft\WindowsNT\CurrnetVersion\ProfileList\{SID}
하위키인 사용자 {SID}별로 사용자 프로필 정보 저장

SID(Security Identifier) 보안 식별자
  • S-1-5-21-577077477-396997128-3300287745-1001

SID 구분 설명
S SID를 나타내는 식별자
1 SID 세부 버전
5 권한 식별자
21-577077477-396997128-3300287745 도메인이나 로컬 컴퓨터 식별자
1001 RID(Relative ID)로 관리자 계정은 500, 사용자 계정은 1000번대 이상의 값

마지막으로 로그인 한 사용자

HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
LastUsedUsername 값이 마지막으로 로그인한 사용자를 나타냄

각 사용자 별 기본 경로

HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders

MiTeC Windows Registry Recovery 분석

- 실제 레지스트리 경로를 찾아가 시스템 사용자 목록 확인

- 실제 레지스트리 경로를 찾아가지 않고 시스템 사용자 목록 확인 가능

- 실제 레지스트리 경로를 찾아가 시스템 사용자 프로필 목록 확인

- 실제 레지스트리 경로를 찾아가지 않고 시스템 사용자 프로필 정보 확인 가능

- 실제 레지스트리 경로를 찾아가 마지막으로 로그인한 사용자 정보 확인

- 실제 레지스트리 경로를 찾아가 각 사용자별 기본 경로 정보 확인

- 실제 레지스트리 경로를 찾아가지 않고 각 사용자별 기본 경로 정보 확인 가능