Forensic Artifacts
-
Windows Registry
Registry Artifacts
Network Interface
Network Interfaces
- HKLM\SYSTEM\ControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}
- 네트워크 정보
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards
- 네트워크 카드 정보를 확인하여 할당된 네트워크 정보 수집 (네트워크 카드 GUID)
- HKLM\SYSTEM\ControlSet00x\Services\Tcpip\Parameter\Interfaces\{GUID}
- 네트워크 인터페이스
- NetworkCards 하위키를 통해 인터페이스 ServiceName(GUID) 확인 후 Interfaces 하위키의 값 확인
- Interfaces Value 값 중 DhcpIPAddress는 해당 네트워크카드에 dhcp가 할당해준 IP 주소
- IPAddress은 사용자가 직접 수동으로 설정해준 IP주소
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Wireless
- 하위키에서 무선 네트워크 식별자(Wireless Identifier) 확인 가능
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signature\Unmanaged
- Signature\Unmanaged 하위키와 연결하여 다양한 무선랜 접속 정보 확인 가능
- Signature\Unmanaged 하위키와 연결하여 다양한 무선랜 접속 정보 확인 가능
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profile\{GUID}
- 무선 AP 마지막 접속 시간
- 기존의 값을 2바이트씩 끊어 Little Endian 방식 적용 후 10진수로 변경
Network Interfaces
MiTeC Windows Registry Recovery 분석
- 실제 레지스트리 경로를 찾아가 네트워크 정보 확인
- 실제 레지스트리 경로를 찾아가 네트워크 카드 정보 확인
- NetworkCounterWatch 프로그램을 활용하여 네트워크 카드 정보 분석
- 실제 레지스트리 경로를 찾아가 네트워크 인터페이스 정보 확인
- 실제 레지스트리 경로를 찾아가지 않고 네트워크 인터페이스 정보 확인 가능
- 실제 레지스트리 경로를 찾아가 무선 네트워크 식별자 정보 확인
- 실제 레지스트리 Signature\Unmanaged 하위 키 경로를 찾아가 무선랜 접속 정보 확인
- 마찬가지로 Signature\Unmanaged 하위 키의 ProfildGuid 값과 동일한 Profile\{GUID}를 찾아가 무선랜 접속 정보 확인
- 무선 AP 마지막 접속 시간 (DateLastConnected 데이터 값 디코딩)
- Dcode v5.2 프로그램 활용
Network Interfaces
REGA를 이용한 Network Interfaces 분석
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards
- 네트워크 카드 정보를 확인하여 할당된 네트워크 정보 수집
- HKLM\SYSTEM\ControlSet00x\Services\Tcpip\Parameter\Interface\{GUID}
- 네트워크 IP Address, Gateway, SubnetMask 정보 등 인터페이스 정보 확인
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Wireless
- 하위키를 통해 무선 네트워크 식별자 확인
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signature\Unmanaged
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Wireless 하위키와 연결
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signature\Unmanaged
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profile\{GUID}
- 무선 AP 프로필, 마지막 접속 시간 정보 등 확인
- 마지막 접속 시간정보 확인 가능
- DCode를 이용하여 시간타임 검증
- 우측 [도구상자] – [네트워크 정보] – [TCP/IP]을 통해서 네트워크 정보 확인
- REGA의 자동 분석기능을 이용하여 데이터 분석 가능