윈도우 7은 기존의 xp 와 달리 변경된 레지스트리 정보가 있습니다.
침해사고 대응 및 포렌식 관점에서 정리해야 하는 내용들을 간략하게 정리해 두었습니다.
<Explorer>
설명: 윈도우 익스플로러에서 최근 연 파일
위치: C:\Users\<user name>\AppData\Roaming\Microsoft\Windows\Recent
설명: 네트워크 바로가기
위치: C:\Users\<user name>\AppData\Roaming\Microsoft\Windows\Network Shortcuts
설명: "실행"에서 실행되었던 최근 프로그램
위치: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
설명: 최근 열렸거나 저장된 파일
위치: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU
설명: 최근 열렸거나 저장된 폴더
위치: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU
설명: 최근 문서
위치: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
설명: 실행 파일의 메인 윈도우 제목표시줄 캐쉬 (EXE to main window title cache)
위치: HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
설명: 실행한 프로그램이나 바로가기의 접근 정보 (User Assist)
위치: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
<윈도우 일반>
설명: Temp 폴더
위치: C:\Users\<user name>\AppData\Local\Temp
설명: 휴지통
위치: C:\$Recycle.Bin
설명: 사용자의 마지막 로그
위치: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
설명: 이벤트 로그
위치: Should be in C:\Windows\System32\config or C:\Windows\System32\winevt\Logs depending on OS
설명: RegEdit에 의해 수정된 마지막 키
위치: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit
설명: 설치된 USB 장치 리스트 (연결 성공/연결 실패, 밴더, 시리얼 넘버...)
위치: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB
설명: 설치된 USB 저장소 장치 리스트
위치: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
설명: SetupAPI 장치 로그 (어떤 USB 장치가 설치됬는지 보여줌)
위치: C:\windows\inf\setupapi.dev.log
설명: 윈도우 프리페치(Prefetch) 관련
위치: C:\Windows\Prefetch
<Internet Explorer>
설명: 인터넷 익스플로러 Temp 폴더 (IE 캐쉬)
위치: C:\Users\<user name>\AppData\Local\Microsoft\Windows\Temporary Internet Files
설명: IE 쿠키
위치: C:\Users\<user name>\AppData\Roaming\Microsoft\Windows\Cookies
설명: 인터넷 익스플로러 히스토리 (어느 사이트에 접속? 언제? 몇번? ...)
위치: C:\Users\<user name>\AppData\Local\Microsoft\Windows\History
설명: IE Typed URLs
위치: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedUrls
설명: IE 폼 자동완성
위치: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage1
설명: IE 패스워드 자동완성
위치: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2
설명: 프린터 스풀 폴더
위치: C:\Windows\System32\spool\PRINTERS
<Firefox>
설명: FF 캐쉬 페이지
위치: C:\Users\<user name>\AppData\Local\Mozilla\Firefox\Profiles\<some profile number>.default\Cache
설명: FF 폼 히스토리 파일
위치: C:\Users\<user name>\AppData\Roaming\Mozilla\Firefox\Profiles\<some profile number>.default\formhistory.sqlite
설명: FF 패스워드 파일
위치: C:\Users\<user name>\AppData\Roaming\Mozilla\Firefox\Profiles\<some profile number>.default\signons.sqlite
설명: FF 쿠키
위치: C:\Users\<user name>\AppData\Roaming\Mozilla\Firefox\Profiles\<some profile number>.default\cookies.sqlite
<Other Apps>
설명: MS Office에서 최근 열린 문서
위치: C:\Users\<user name>\AppData\Roaming\Microsoft\Office\Recent
설명: 윈도우 미디어 플레이어에서 열인 파일
위치: HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Player\RecentFileList
설명: Outlook에서 저장된 메일
위치: C:\Users\<user name>\AppData\Local\Microsoft\Outlook\outlook.ost
설명: Outlook 첨부파일 Temp 폴더
위치: C:\Users\<user name>\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook\<random value>\
설명: 플래시 쿠키 위치
위치: C:\Users\<user name>\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\<random value>\
'security > 포렌식' 카테고리의 다른 글
| The Desktop Files PsTools 입문서 (1) | 2011.04.12 |
|---|---|
| *nix Live Forensics (0) | 2010.07.14 |
| 침해사고 대응을 위한 포렌식 시스템 구성 (0) | 2010.07.06 |
| PsLogList 를 이용한 윈도우 시스템 침해사고 대응 및 디지털 포렌식을 위한 이벤트 덤프 활용 (0) | 2010.07.03 |
| 포렌식을 위한 윈도우 파일 시그니쳐 (techpathways) (2) | 2010.07.03 |