[Kevin’s Attic for Security Research] Windows Registry Artifacts [email protected] DO NOT FORGET TO REMAIN THE ORIGINAL SOURCE WHEN YOU MAKE USE OF THIS MATERIAL OR (RE)DISTRIBUTE IT. What to Cover 1. What is Registry? 2. Location and Components 3. Root Keys 4. Hive Structure 5. Windows Registry Artifacts Basic System Information, Installed Software List, MRU List, USB Information, Mounted Devices, Timezone information, Shared Resources, Mapped Network Drives, Startup Services, Internet Explorer, Wireless SSIDs, Network Interfaces, SAM, UserAssist (Application Usage), Shellbags, Explorer Searches, RDP Connection Information, Hardware Information, Restore Point Kevin’s Attic for Security Research 2 Windows Registry Artifacts General Information • What is registry?  광활한 Microsoft Windows 운영체제 정보 저장소  운영체제와 프로그램 구성 데이터의 계층형 데이터베이스 (Hierarchical Database in binary)  Drawbacks: 단일 실패점 (SPoF, Single Point of Failure)  Booting/Login Process, Service/Application Execution, User Activities, …  “마지막 성공 구성 설정” 저장/복구 가능  Windows 3.11 이후부터 사용 [References] http://en.wikipedia.org/wiki/Windows_Registry Digital Forensic 3 Windows Registry Artifacts Location • Location  %SYSTEMROOT%\System32\Config\, %SYSTEMROOT%Document and Settings\[Account] HKU HKLM [References] Digital Forensic 4 Windows Registry Artifacts Components • Components (regedit.exe) Value Type Data Key Subkey [References] Digital Forensic 5 Windows Registry Artifacts Root Keys • Registry Root Keys  HKEY_CLASSES_ROOT: 파일과 COM(Component Object Model) 객체 등록 정보  HKEY_CURRENT_USER: 시스템에 로그인한 사용자 Profile  HKEY_LOCAL_MACHINE 시스템 하드웨어, 소프트웨어 설정과 환경 정보  HKEY_USERS 시스템 모든 사용자와 그룹 Profile  HKEY_CURRENT_CONFIG 시스템 시작에 사용되는 하드웨어 Profile [References] Digital Forensic 6 Windows Registry Artifacts Root Keys • Registry Root Keys  Master Key: HKEY_LOCAL_MACHINE , HKEY_USERS  Derived Key: HKEY_CLASSES_ROOT, HKEY_CURRENT_USER , HKEY_CURRENT_CONFIG Key 설명 HKEY_CLASSES_ROOT HKLM\SOFTWARE\Classes와 HKU\<SID>\Classes Symbolic Link (HKCR) Default Setting 과 개별 사용자 Setting 혼합 HKEY_CURRENT_USER HKEY_USERS 사용자 프로파일 Hive 하위 키 Symbolic link (HKCU) Console 사용자 환경 구성 HKEY_LOCAL_MACHINE System Hive, Memory Hive 모음 (SYSTEM, SOFTWARE, SAM, SECURITY) (HKLM) 대부분의 computer setting 정보 보관, Master Key HKEY_USERS 로그온 계정의 사용자 프로파일 hive를 담고 있는 장소 (NTUSER.DAT) (HKU) Console 사용자와 다른 사용자 환경 구성, 최소 3개 subkey (.DEFAULT, SID, SID_Classes) HKEY_CURRENT_CONFIG 현재 하드웨어 정보(Profile)를 가지고 있는 키 Symbolic link (HKCC) (HKLM \SYSTEM\CurrentControlSet\Control\IDConfigDB\Hardware Profiles 하위) HKEY_DYN_DATA 데이터 탐색 성능을 위한 장소이며 물리적 hive는 존재하지 않음 [References] http://technet.microsoft.com/en-us/library/cc750583.aspx Digital Forensic 7 Windows Registry Artifacts • Root Keys • Registry Root Keys - HKCU  HKCU: HKU 하위 Profile 중 현재 Login 사용자의 하위 키 Digital Forensic 8 Windows Registry Artifacts Root Keys • Registry Root Keys – HKCU Subkey  HKCU Subkey Details  AppEvents: 사운드, 이벤트 관련  CLSID: COM 객체 연결 정보  Console: 명령 프롬프트 윈도우 설정 정보  ControlPanel: 데스크탑 테마, 키보드/마우스 환경 설정 정보  Environment: 환경 변수 정의  EUDC: 최종 사용자가 정의한 문자 정보  Identities: 윈도우 메일 계정 정보  Keyboard Layout: 키보드 레이아웃 설정 정보  Network: 네트워크 드라이브 매핑 정보, 환경 설정 값  Printers: 프린트 연결 설정  Session Information: 작업표시줄 표시 현재 실행 프로그램 설정  Software: 로그인한 사용자 소프트웨어 목록  System: HKLM/SYSTEM 하위키의 일부 (Control, Policies, Services)  UNICODE Program Groups: 로그인 사용자 시작 메뉴 그룹 정의  Volatile Environment: 휘발성 환경 변수 [References] http://forensic-proof.com/archives/1515 Digital Forensic 9 Windows Registry Artifacts • Root Keys • Registry Root Keys – HKLM  HKLM: 시스템 전체 Hardware, Software 설정과 환경 정보 Digital Forensic 10