Windows Forensics

윈도우 포렌식

Shellbags

개요

사용자가 로컬, 네트워크 및 이동식 저장장치에서 접근한 폴더 정보를 Shellbags 레지스트리에 기록합니다.

  • 포렌식적 의미

  • - 사용자가 특정 폴더에 접근한 시간 정보 확인
  • - 존재하는 폴더의 삭제/덮어쓰기에 대한 증거 추적
  • - Explorer를 통한 폴더 접근에 대한 MAC 타임 추적

레지스트리 주요경로

레지스트리의 ShellBag 주요 경로(Windows 10)

번호 레지스트리 경로
1 HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags
2 HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
3 HKCU\Software\Microsoft\Windows\Shell\Bags
4 HKCU\Software\Microsoft\Windows\Shell\BagMRU
쉘백 정보는 Bags과 BagMRU 두 가지 주요 레지스트리 키로 구성
BagMRU 키는 유사한 트리 구조를 생성하여 폴더 이름과 레코드 폴더 경로를 저장
Bags 키는 창 크기, 위치 및 보기 모드와 같은 보기 기본 설정을 저장

HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags

HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagsMRU

HKCU\Software\Microsoft\Windows\Shell\Bags

HKCU\Software\Microsoft\Windows\Shell\BagMRU

- 사용자 레지스트리 파일인 [ NTUSER.DAT과 UsrClass.dat ]의 Shellbag 하위 키
- NTUSER.DAT는 데스크톱, Windows 네트워크 폴더, 원격 컴퓨터 및 원격 폴더에 대한 ShellBags 정보를 저장
- UsrClass.dat는 데스크톱, ZIP 파일, 원격 폴더, 로컬 폴더, Windows 특수 폴더 및 가상 폴더에 대한 ShellBags 정보를 저장

Windows XP
Windows XP (32 bit & 64 bit) %UserProfile%\NTUSER.dat
NTUSER.DAT\Software\Microsoft\Windows\Shell\BagMRU
NTUSER.DAT\Software\Microsoft\Windows\Shell\Bags
NTUSER.DAT\Software\Microsoft\Windows\ShellNoRoam\BagMRU
NTUSER.DAT\Software\Microsoft\Windows\ShellNoRoam\Bags
Windows Vista
Windows Vista (32 bit & 64 bit)
%UserProfile%\NTUSER.DAT
%UserProfile%\AppData\Local\Microsoft\Windows\UsrClass.dat
Windows Vista (32 bit)
NTUSER.DAT\Software\Microsoft\Windows\Shell\BagMRU
NTUSER.DAT\Software\Microsoft\Windows\Shell\Bags
NTUSER.DAT\Software\Microsoft\Windows\ShellNoRoam
UsrClass.dat\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
UsrClass.dat\Local Settings\Software\Microsoft\Windows\Shell\Bags
Windows Vista (64 bit)
NTUSER.DAT\Software\Microsoft\Windows\Shell\BagMRU NTUSER.DAT\Software\Microsoft\Windows\Shell\Bags
NTUSER.DAT\Software\Microsoft\Windows\ShellNoRoam
UsrClass.dat\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
UsrClass.dat\Local Settings\Software\Microsoft\Windows\Shell\Bags
UsrClass.dat\Wow6432Node\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
UsrClass.dat\Wow6432Node\Local Settings\Software\Microsoft\Windows\Shell\Bags
[Windows 7,8 & 8.1]
Windows 7, 8 & 8.1 (32 bit & 64 bit)
%UserProfile%\NTUSER.dat
%UserProfile%\AppData\Local\Microsoft\Windows\ UsrClass.dat
Windows 7, 8 & 8.1 (32 bit & 64 bit)
NTUSER.DAT\Software\Microsoft\Windows\Shell\BagMRU NTUSER.DAT\Software\Microsoft\Windows\Shell\Bags
UsrClass.dat\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
UsrClass.dat\Local Settings\Software\Microsoft\Windows\Shell\Bags

좌측 운영체제 카테고리에서 shellbag 아티팩트 클릭

[증거]테이블을 통해 공유폴더 접근 흔적과 마지막 탐색 시간 확인 가능하고
우측 [세부 정보]테이블을 통해서도 확인 가능

[세부 정보]테이블의 [증거 정보]- [소스]를 통해서 Shellbags경로 확인 가능하고
하이퍼링크를 클릭하면 자동으로 이동

C:/Users/사용자/NTUSER.DAT

NTUSER.DAT\Software\Microsoft\Windows\Shell\BagMRU

NTUSER.DAT\Software\Microsoft\Windows\Shell\Bags

C:/User/사용자/AppData/Local/Microsoft/Windows/UserClass.dat

UserClass.dat\Local Settings\Software\Microsoft\Windows\Shell\BagMRU

UserClass.dat\Local Settings\Software\Microsoft\Windows\Shell\Bags

EnCase에서 ShellBag을 분석하기 위해 먼저 NTUSER.dat 파일 경로 확인
C:\Users\사용자\NTUSER.DAT

NTUSER.DAT 파일에는 HKEY_CURRENT_USER에 있는 모든 레지스트리 설정이 들어 있다.

NTUSER.DAT\Software\Microsoft\Windows\Shell\BagMRU 경로 확인

경로를 찾은 후 BagMRU를 보면 하위에 MRUListEx, NodeSlot, NodeSlots 키를 확인할 수 있습니다.
NodeSlots은 루트 BagMRU 하위 키에서만 발견되며 새 셀백이 만들어 질 때마다 업데이트 됩니다.

셀백은 Windows 탐색기를 통해 액세스 할 수 있는 계층 구조와 비슷한 형식으로 BagMRU 키로 구성되어 있으며
각 번호가 매겨진 폴더는 이전 폴더의 부모 또는 자식 폴더를 나타냅니다.

MRUListEx 키는 최근에 열람한 순서 정보, 최초로 생성될 때의 시간 설정 ( 최초 생성 = 최초 폴더 열람 )

NodeSlot 값은 Bags 아래의 하위 키를 가리 킵니다.
이 키에는 정렬 순서, 아이콘 설정, 크기 등과 같은 정보가 들어있는 다른 키와 값이 들어 있습니다. 

EnCase의 Process Evidence 기능을 이용한 ShellBags 자동 수집
[Process]탭-[Modules]-[Windows Artifact Parser]- ShellBags옵션 선택

ShellBags 자동 수집 결과 확인
[View]탭-[Artifacts]-[Evidence Processor Module Results]-[Windows Artifact Parser]

NTUSER.DAT는 데스크톱, Windows 네트워크 폴더, 원격 컴퓨터 및 원격 폴더에 대한 ShellBags 정보를 저장
UsrClass.dat는 데스크톱, ZIP 파일, 원격 폴더, 로컬 폴더, Windows 특수 폴더 및 가상 폴더에 대한 ShellBags 정보를 저장

Shellbags 정보 확인

%UserProfile%\NTUSER.DAT

[Open in Registry Viewer]

FTK 는 케이스 생성 전, 인덱싱이 선행됩니다.
각 파일들이 유형별로 분류되며 [Windows NT Registry] 카테고리에서
[NTUSER.DAT] 레지스트리를 바로 찾을 수 있습니다.

[Open in Registry Viewer]

FTK의 레지스트리 전용 분석도구 [Registry Viewer]

[Common Areas] 주요 분석 Key 경로를 축약하여 나타냅니다.
특정 Key 사용자 등록/제거 기능제공.

[Common Areas] NTUSER.DAT\Software\Microsoft\Windows\Shell

공유 폴더 접근 흔적

C:Users\NTUSER.DAT\마우스 우클릭\View -> 레지스트리 편집기

Find Text를 이용한 레지스트리 검색

공통 단어인 [shell] 검색

[Continue Search]를 이용하여 계속 검색 가능