레지스트리 포렌식

디지털 포렌식 수사 기법

Network Interface

Network Interfaces

- HKLM\SYSTEM\ControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}
- 네트워크 정보

- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards
- 네트워크 카드 정보를 확인하여 할당된 네트워크 정보 수집 (네트워크 카드 GUID)

- HKLM\SYSTEM\ControlSet00x\Services\Tcpip\Parameter\Interfaces\{GUID}
- 네트워크 인터페이스

- NetworkCards 하위키를 통해 인터페이스 ServiceName(GUID) 확인 후 Interfaces 하위키의 값 확인

- Interfaces Value 값 중 DhcpIPAddress는 해당 네트워크카드에 dhcp가 할당해준 IP 주소
- IPAddress은 사용자가 직접 수동으로 설정해준 IP주소

- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Wireless
- 하위키에서 무선 네트워크 식별자(Wireless Identifier) 확인 가능

- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signature\Unmanaged
- Signature\Unmanaged 하위키와 연결하여 다양한 무선랜 접속 정보 확인 가능

- Signature\Unmanaged 하위키와 연결하여 다양한 무선랜 접속 정보 확인 가능

- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profile\{GUID}

- 무선 AP 마지막 접속 시간
- 기존의 값을 2바이트씩 끊어 Little Endian 방식 적용 후 10진수로 변경

Network Interfaces

MiTeC Windows Registry Recovery 분석

- 실제 레지스트리 경로를 찾아가 네트워크 정보 확인

- 실제 레지스트리 경로를 찾아가 네트워크 카드 정보 확인

- NetworkCounterWatch 프로그램을 활용하여 네트워크 카드 정보 분석

- 실제 레지스트리 경로를 찾아가 네트워크 인터페이스 정보 확인

- 실제 레지스트리 경로를 찾아가지 않고 네트워크 인터페이스 정보 확인 가능

- 실제 레지스트리 경로를 찾아가 무선 네트워크 식별자 정보 확인

- 실제 레지스트리 Signature\Unmanaged 하위 키 경로를 찾아가 무선랜 접속 정보 확인

- 마찬가지로 Signature\Unmanaged 하위 키의 ProfildGuid 값과 동일한 Profile\{GUID}를 찾아가 무선랜 접속 정보 확인

- 무선 AP 마지막 접속 시간 (DateLastConnected 데이터 값 디코딩)

- Dcode v5.2 프로그램 활용