디지털 포렌식 14

[2024.11.05]

 

[디지털 증거 찾기]

 

01. 시스템 사용자 이름

 

> YRG

 

 

REGA 프로그램을 설치 후

파일 > 레지스트리 파일 수집 > 현재 시스템 레지스트리 수집을 통해

현재 나의 PC 레시스트리 정보 수집을 실시한다

 

 

파일 수집이 완료되면 완료되었다는 창이 나타난다

 

 

파일 > 레지스트리 분석을 누르고

시간을 서울로 설정하게 되면 위 화면과 같이 나타난다

차례대로 정보를 기입하고 레지스트리 정보를 저장한

폴더를 지정하고 분석 시작을 누른다

 

 

분석 중에 이런 식으로 진행 결과가 나타난다

 

 

처음으로 알아낸 것은 오른쪽의 도구 상자에서

사용자의 계정 정보를 선택하면 내 PC의 사용자 이름을 확인할 수 있다

 

 

02. 컴퓨터 이름은?

 

> YRG_PC

 

 

이번에는 컴퓨터 이름을 찾기 위해

키워드 검색에서 찾을 대상을 모두 선택하고

computername을 입력하고 검색한다

 

 

검색되어 나오는 것들 중에서

제일 아래로 내리다 보면 Computername이 나타난다

선택해서 확인하면 현재 PC의 이름은 YRG-PC인 것을 알 수 있다

 

 

03. 타임 존은?

 

> Korea Standard Time

 

 

타임 존 역시 키워드 검색으로 Timezone을 검색한다

 

 

아래에서 TimeZoneKeyName을 확인할 수 있다

 

 

04. 탐색기에서 검색한 검색어를 모두 찾으시오

 

> 레지스트리 편집기

> registre
> vmunpacker
> not
> HxD
> note

 

 

검색어를 확인할 때는 오른쪽의 검색 키워드를 누르면 확인이 가능하다

 

 

05. YRG가 IE에 타이핑한 URL 주소

 

> http://google.com/ 

> http://www.naver.com

> http://go.microsoft.com...

 

 

이것 역시 오른쪽의 IE - 열어 본 페이지를 선택하면 확인할 수 있다

 

 

06. 기본 IP 주소는?

 

> IP 주소192.168.217.201

> 서브넷 마스크: 255.255.255.0

> 게이트웨이: 192.168.217.2

> DNS 네임 서버: 8.8.8.8

 

 

IP 주소는 오른쪽 아래의 네트워크 정보에서 확인할 수 있다

TCP/IP를 선택하고 아래로 내리면 로컬 영역 연결이 있다

여기에서 IP 주소 및 서브넷 마스크 같은 기본 정보를 확인할 수 있다

 

 

07. 운영 체제가 설치된 날짜와 시간

 

> 2024년 5월 21일 14:20:24 화요일(UTC +09:00)

 

 

운영 체제가 설치된 날짜와 시간을 확인하기 위해

윈도우 설치 정보를 확인했을 때 위와 같은 시간이 확인되었다

 

 

08. 기본 웹 브라우저

 

> Internet Explorer

 

경로: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http

 

 

위의 경로로 들어가서 확인하면 AppUserModeID에서

Microsoft.InternetExplorer.Default라는 문구를 발견했다

이 말은 기본 웹 브라우저가 Internet Explorer라는 뜻이다

 

 

09. 기본 웹 브라우저 실행 시 기본 페이지

 

> http://go.microsoft.com...

 

경로: HKEY_USERS\YRG\SOFTWARE\Microsoft\Internet Explorer\Main

 

 

마지막의 기본 페이지 역시 위의 경로를 직접 찾아가서 확인해야 된다

Main에서 확인하게 되면 Start Page에서 기본 웹 브라우저 페이지의 URL이 나온다

 

 

[미션]

 

- Windows Registry Analysis 분석 파일로 1번부터 9번까지 진행

 

 

강사님께서 제공해 주신 파일로 폴더를 지정하고 분석을 진행한다

 

 

01. 시스템 사용자 이름

 

> Natasha

 

 

 

02. 컴퓨터 이름

 

> WIN-S550ED416I9

 

 

 

03. 타임 존

 

> Eastern Standard Time

 

 

 

04. 탐색기에서 검색한 검색어를 모두 쓰기

 

> 존재하지 않음

 

 

 

05. 사용자가 IE에 타이핑한 URL 주소는?

 

> 존재하지 않음

 

 

 

06. 기본 IP 주소 정보

 

> IP 주소: 172.16.53.254

> 서브넷 마스크: 255.255.255.0

> 게이트웨이: 172.16.53.2

> DNS 네임 서버: 172.16.53.2

 

 

 

07. 운영 체제가 설치된 날자와 시간

 

> 2011-06-07 05:35:15 Tue(UTC +09:00)

 

 

 

08. 기본 웹 브라우저

 

> Internet Explorer

 

 

 

09. 기본 웹 브라우저 실행 시 기본 페이지

 

> HKEY_USERS에서 사용자를 확인할 수 없어 확인 불가

 

 

 

강의 소감

오늘은 디지털 증거를 시작함으로 REGA 프로그램을 사용했다

지금까지 레지스트리 편집기로 경로를 찾아다니면서

증거물을 수집하던 것을 이 프로그램을 통해

시스템 정보를 수집하고, 수집한 정보를 통해

단번에 알아낼 수 있는 방법을 알게 되었다

강사님께서 이런 프로그램만 쓰려고 하면 안 되고

직접 사용해 보고 그 다음 프로그램을 사용하는 거라는 말씀이 와닿았다

처음부터 편하게 프로그램을 사용했다면

계속 편한 상태에 안주해서 그 방법만 고집했을 것 같다

늘 생각하는 부분이지만 조금 더 편한 방법이 있더라도

이전의 시스템을 더 사용해 보고 구 버전과 최신 버전을 계속해서 비교하고 싶다

성장하는 건 편한 상태의 어떤 것이 아니라

꾸준히 지속적으로 알아보고 알아내려고 해야 되는 것 같다