디지털 포렌식 아티팩트 & 증거 분석 기법 공유 | 인섹시큐리티

관심 세미나 등록

원하시는 세미나를 사전 등록하시면
세미나 오픈시 우선적으로 자동 신청되어 알려드립니다.

* 세미나 개최는 신청자가 많은 순으로 결정됩니다.

이름
회사명
이메일
연락처

세미나
요청사항

입사 지원

인섹시큐리티에서는 신입/경력부문 상시채용과 공개채용 방식을 같이 진행하고 있습니다
제출한 이력서 기반으로 지원자격 심사평가를 진행합니다.

이름
생년월일
이메일
연락처

채용부문

이력서

Windows Forensics

윈도우 포렌식

Forensic Artifacts

포렌식 기본지식

운영체제(Operating System)

연관분석(Connection)

연관분석 실습

인터넷(Internet)

이메일(Email)

채팅(Chatting)

SNS

문서(Documents)

동영상 / 이미지

P2P

Encryption

기타 증거분석

SRUM

개요

Windows 8부터 제공되고 있고 시스템 자원 활용도를 추적하는데 사용
- 프로세스 소유자, CPU주기, 네트워크 활동, 전력 소비 등 확인
응용프로그램 시작 실행자, 실행 시간이나 삭제/제거/외부 프로그램 추적 정보 확인
SRUM 레지스트리는 데이터 보관을 위한 임시 저장 위치이고 데이터는 SRUM.dat파일에 저장
SRUDB.dat 파일은 Windows ESE 데이터베이스 형식

포렌식 관점

응용프로그램 시작 실행자 정보 확인
응용프로그램 이름, 전체경로 확인
응용프로그램 실행 시간이나 삭제/제거/외부 프로그램 추적
시스템 자원 활용도 추적

레지스트리 주요경로

번호	레지스트리 경로
1	HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SRUM\Extensions
2	C:\Windows\System32\sru\SRUDB.dat

디스크의 ESE 데이터베이스

Database Table Name	Description
{DD6636C4-8929-4683-974E-22C046A43763}	Network Connectivity data
{D10CA2FE-6FCF-4F6D-848E-B2E99266FA89}	Application Resource usage data
{973F5D5C-1D90-4944-BE8E-24B94231A174}	Network usage data
{D10CA2FE-6FCF-4F6D-848E-B2E99266FA86}	Windows Push Notification data
{FEE4E14F-02A9-4550-B5CE-5FA2DA202E37}	Energy usage data
{FEE4E14F-02A9-4550-B5CE-5FA2DA202E37}	LT Energy usage data

SRUDB.dat 파일 경로 확인 C:\ Windows \ System32 \ sru \SRUDB.dat

좌측 운영체제 카테고리에서 SRUM 응용 프로그램 리소스 사용 아티팩트 클릭

[증거]테이블의 상단 칼럼 정보를 통해
응용프로그램 이름, 경로, 사용자 ID 정보를 확인 할 수 있고 우측 [세부 정보]테이블을 통해서도 확인 가능

[세부 정보]테이블의 [증거 정보]- [소스]를 통해서 SRUM 경로 확인이 가능하고
하이퍼링크를 클릭하면 자동으로 이동

C:\Windows\System32\sru\SRUDB.dat

SRUM을 분석하기 위해 먼저 SOFTWARE 하이브 파일의 경로 확인
C:\Windows\System32\Config\SOFTWARE

SOFTWARE 하이브 파일 확인

SOFTWARE 하이브 파일은 윈도우 시스템에 설치된 모든 응용프로그램 정보를 가지고 있고 개별 사용자에 연관된 것이 아니라 보다 큰 소프트웨어에 대한 전체적인 구성 정보를 가지고 있습니다.

EnCase에서 SRUM 위치 경로 확인
SOFTWARE\ Microsoft\Windows NT\CurrentVersion\SRUM\Extensions

경로를 찾은 후 Database Table Name 확인 가능

Windows\System32\sru\SRUDB.dat

[ESE Database]

%SystemRoot%\System32\config\SOFTWARE

[Common Areas]

Windows\System32\sru\SRUDB.dat

Windows\System32\Config\Software

마우스 우클릭 View

레지스트리 뷰어 확인

Software-Microsoft-Windows NT-CurrentVersion-SRUM-Extensions

SRUM 파일

Eeprov.dll 파일 offset 위치

SRUM 파일

vfuprov.dll 파일 offset 위치

오픈소스인 NetworkUsageView v1.20 프로그램은 Windows 10의 SRUDB.dat 데이터베이스에 저장된 네트워크 사용 정보를 추출하여 표시

- 서비스 또는 응용 프로그램의 이름 및 설명, 사용자의 이름과 SID, 네트워크 어댑터, 지정된 서비스/응용 프로그램에서 보내고 받은 총 바이트 수 확인 가능

>