Windows Forensics

윈도우 포렌식

SRUM

개요

  • Windows 8부터 제공되고 있고 시스템 자원 활용도를 추적하는데 사용
    - 프로세스 소유자, CPU주기, 네트워크 활동, 전력 소비 등 확인
  • 응용프로그램 시작 실행자, 실행 시간이나 삭제/제거/외부 프로그램 추적 정보 확인
  • SRUM 레지스트리는 데이터 보관을 위한 임시 저장 위치이고 데이터는 SRUM.dat파일에 저장
  • SRUDB.dat 파일은 Windows ESE 데이터베이스 형식

포렌식 관점

  • 응용프로그램 시작 실행자 정보 확인

  • 응용프로그램 이름, 전체경로 확인

  • 응용프로그램 실행 시간이나 삭제/제거/외부 프로그램 추적

  • 시스템 자원 활용도 추적

레지스트리 주요경로

번호 레지스트리 경로
1 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SRUM\Extensions
2 C:\Windows\System32\sru\SRUDB.dat

디스크의 ESE 데이터베이스

Database Table Name Description
{DD6636C4-8929-4683-974E-22C046A43763} Network Connectivity data
{D10CA2FE-6FCF-4F6D-848E-B2E99266FA89} Application Resource usage data
{973F5D5C-1D90-4944-BE8E-24B94231A174} Network usage data
{D10CA2FE-6FCF-4F6D-848E-B2E99266FA86} Windows Push Notification data
{FEE4E14F-02A9-4550-B5CE-5FA2DA202E37} Energy usage data
{FEE4E14F-02A9-4550-B5CE-5FA2DA202E37} LT Energy usage data

SRUDB.dat 파일 경로 확인 C:\ Windows \ System32 \ sru \SRUDB.dat

좌측 운영체제 카테고리에서 SRUM 응용 프로그램 리소스 사용 아티팩트 클릭

[증거]테이블의 상단 칼럼 정보를 통해
응용프로그램 이름, 경로, 사용자 ID 정보를 확인 할 수 있고 우측 [세부 정보]테이블을 통해서도 확인 가능

[세부 정보]테이블의 [증거 정보]- [소스]를 통해서 SRUM 경로 확인이 가능하고
하이퍼링크를 클릭하면 자동으로 이동

C:\Windows\System32\sru\SRUDB.dat

SRUM을 분석하기 위해 먼저 SOFTWARE 하이브 파일의 경로 확인
C:\Windows\System32\Config\SOFTWARE

SOFTWARE 하이브 파일 확인

SOFTWARE 하이브 파일은 윈도우 시스템에 설치된 모든 응용프로그램 정보를 가지고 있고 개별 사용자에 연관된 것이 아니라 보다 큰 소프트웨어에 대한 전체적인 구성 정보를 가지고 있습니다.

EnCase에서 SRUM 위치 경로 확인
SOFTWARE\ Microsoft\Windows NT\CurrentVersion\SRUM\Extensions

경로를 찾은 후 Database Table Name 확인 가능

Windows\System32\sru\SRUDB.dat

[ESE Database]

%SystemRoot%\System32\config\SOFTWARE

[Common Areas]

Windows\System32\sru\SRUDB.dat

Windows\System32\Config\Software

마우스 우클릭 View

레지스트리 뷰어 확인

Software-Microsoft-Windows NT-CurrentVersion-SRUM-Extensions

SRUM 파일

Eeprov.dll 파일 offset 위치

SRUM 파일

vfuprov.dll 파일 offset 위치

  • 네트워크 사용 데이터는 Windows 운영 체제에서 매시간 수집

오픈소스인 NetworkUsageView v1.20 프로그램은 Windows 10의 SRUDB.dat 데이터베이스에 저장된 네트워크 사용 정보를 추출하여 표시

- 서비스 또는 응용 프로그램의 이름 및 설명, 사용자의 이름과 SID, 네트워크 어댑터, 지정된 서비스/응용 프로그램에서 보내고 받은 총 바이트 수 확인 가능

>