Windows 8 Forensics - f

FORENSIC INSIGHT SEMINAR
Windows 8 Forensics
dorumugs
http://malware.co.kr
And yet it does move
개요
1. Windows 8 User Interface
2. Windows 8 Artifacts
3. Windows 8 Registry
4. Windows 8 ETC
forensicinsight.org
Page 2 / 83
Windows 8
Users Interface
forensicinsight.org
Page 3 / 83
Windows 8 User Interface

로그인하는 방법은 3가지가 있다.
•
일반적인 ID / PW 입력 방식
•
그림을 그려서 로그인 하는 방식
•
PIN 사인을 통해 로그인 하는 방식
forensicinsight.org
Page 4 / 83
Windows 8 User Interface

잠금 페이지 – 캘린더, 페이스북 등 알림을 보여준다.
forensicinsight.org
Page 5 / 83
Windows 8 User Interface

시작 메뉴
•
Maps, Internet explorer 10, Weather, People Messaging 등이 설치되어 있다.
•
프로그램들은 Windows Store를 통해 설치되거나 삭제된다.
forensicinsight.org
Page 6 / 83
Windows 8 User Interface

시작 메뉴 – Charms
•
Search, Share, Start, Devices, Settings로 바로 이동할 수 있게 도와준다.
forensicinsight.org
Page 7 / 83
Windows 8 User Interface

PC Settings
•
Consumer Preview 버전에서는 일부 설정에만 접근할 수 있다.
•
Refresh your PC without affecting your files
 사용자의 파일들과 개별적으로 설정된 내역은 변경되지 않는다
 PC의 설정은 초기 설정으로 돌아간다.
 Windows Store로 부터 설치된 App들은 유지된다.
 Windows Store가 아닌 다른 방법으로 설치된 내역은 삭제된다.
 삭제된 App 목록은 Desktop에 저장된다.
•
Reset your PC and start over
 사용자의 파일들과 APP들 모두 삭제된다.
 사용자의 PC는 최초의 설정으로 돌아간다.
forensicinsight.org
Page 8 / 83
Windows 8 User Interface

PC Settings
forensicinsight.org
Page 9 / 83
Windows 8 User Interface

TaskManager
forensicinsight.org
Page 10 / 83
Windows 8 User Interface

Windows Store
•
Windows Store를 통해서 애플리케이션을 설치 또는 삭제 할 수 있다.
•
Windows Store를 통하지 않아도 애플리케이션을 설치 또는 삭제 할 수 있다.
forensicinsight.org
Page 11 / 83
Windows 8 User Interface

Messaging
•
Windows Live 계정을 통해서 대화를 할 수 있다.
•
Gtalk, Facebook 등을 연동하여 사용이 가능하다.
forensicinsight.org
Page 12 / 83
Windows 8 User Interface

Weather
•
날씨를 알려주는 애플리케이션이다.
•
장소를 GPS로 인식하여 동작한다.
forensicinsight.org
Page 13 / 83
Windows 8 User Interface

BSD(Blue Screen of Death)
•
이모티콘, 어려운 용어 제거 등을 사용하여 사용자 친화적으로 변경
forensicinsight.org
Page 14 / 83
Windows 8 User Interface

Windows Desktop
•
시작 버튼이 없다. (Developer Preview에는 시작 버튼이 존재한다.)
•
마우스를 왼쪽 하단으로 움직이면, Metro Start를 만날 수 있다.
forensicinsight.org
Page 15 / 83
Windows 8 User Interface

Windows Desktop
•
Metro Start에서 위쪽으로 마우스를 이동하며, 현재 동작 중인 App을 확인할 수 있다.
forensicinsight.org
Page 16 / 83
Windows 8 User Interface

Windows Explorer
•
Explorer는 요즘 MS가 사용하는 Tab방식으로 변했다.
•
외형은 MS Office와 유사하다.
forensicinsight.org
Page 17 / 83
Windows 8 Artifacts
forensicinsight.org
-
Local Folder
-
Cache
-
Metro Apps
-
Cookies
-
IE10 Websites Visited
-
Microsoft Folder
-
Journal Notes
-
Digital Certificates
-
Desktop Tools
-
What’s New
-
Metro App Web Cache
-
User’s Contacts
-
Metro App Cookie
-
App Settings
Page 18 / 83
Windows 8 Artifacts
Local Folder

“AppData/Local” 폴더는 시스템이나 애플리케이션이 사용한다.

XP에서는 "Documents and Settings\%UserName%\Local Settings\Application
Data“ 폴더에서 “AppData/Local”기능을 수행했다.

“AppData/Local” 폴더는 Temporary Internet Files, Internet History 그리고
Windows 8이 남기는 다양한 파일들을 담고 있다.
forensicinsight.org
Page 19 / 83
Windows 8 Artifacts
Local Folder

“%SystemRoot%\Users\%user%\AppData\Local\”
애플리케이션
경로
목적
Metro Apps
Microsoft\Windows\Application\Sho
rtcuts
Metro Interface에서 보여지는
App들을 확인
IE 10 Web Visited
%SystemRoot%\Users\%User%\App
Data\Local\Microsoft\Windows\We
bCache\WebCacheV24.dat
IE 10을 사용하여 웹사이트에 방문
했던 내역 확인
Microsoft\InternetExplorer\Recovery
\Immersive\Active
IE 10을 사용하여 웹사이트에 방문
했던 내역 및 브라우져 복구 시 사
용되는 경로
IE 10 Web Session
and
Microsoft\InternetExplorer\Recovery
\Immersive\LastActive
Taskbar Apps
Microsoft\Windows\Caches
Desktop에 고정된 App들을 확인
Journal Notes
Microsoft\Journal\Cache\msnb.dat
사용자가 생성한 Journal Notes의
History와 경로 저장
Microsoft\Windows\RoamingTiles
사용자가 고정시킨 웹사이트 즐겨
찾기 내역
User-Added IE 10 Favorites
forensicinsight.org
Page 20 / 83
Windows 8 Artifacts
Local Folder
애플리케이션
경로
목적
Temporary Internet Files
Microsoft\Windows\Temporary
Internet Files\Low\Content.IE5
인터넷 임지 저장 파일들을 저장
Protected Mode
Temporary Internet Files
Microsoft\Windows\Temporary
Internet Files\Virtualized\%Local
Disk%\Users\%user%\Appdata
IE가 Protected Mode로 동작할 때,
인터넷 임시저장 파일들을 저장
Microsoft\Window\WinX
Device Manager, Command
Prompt, Run과 같은 링크 파일들
을 저장
Windows Sidebar Weather
App
Microsoft\Windows\Windows
Sidebar\Cache\168522d5-1082-4df2b2f6-9185c31f9472
XML파일로 위치 주소 등을 저장
Metro App Web Cache
Packages\%MetroAppName%\AC\IN
etCache
Metro App들이 사용하는 Web
Cache를 저장
Metro App Cookies
Packages\%MetroAppName%\AC\In
etCookies
Text로 Metro App이 사용하는
Cookie 파일들을 저장
Metro App Web History
Packages\%MetroAppName%\AC\IN
etHistory
Metro App이 사용하는 Web
History를 저장
Metro Settings
Packages\%MetroAppName%\AC\L
ocalState
Metro App이 사용하는 설정들을
Plain Text로 저장
Desktop
forensicinsight.org
Page 21 / 83
Windows 8 Artifacts
Local Folder

Metro Apps
•
Metro Interface에서 확인할 수 있는 App들에 대한 링크 파일들을 확인할 수 있다.
forensicinsight.org
Page 22 / 83
Windows 8 Artifacts
Local Folder

IE 10 Websites Visited
•
%SystemRoot%\Users\Kayser\AppData\Local\Microsoft\Windows\WebCache\WebCac
heV24.dat
forensicinsight.org
Page 23 / 83
Windows 8 Artifacts
Local Folder

IE 10 Web Session
•
Compound DAT 파일을 Unpack하면 TL(Travel Log)들을 확인 가능
forensicinsight.org
Page 24 / 83
Windows 8 Artifacts
Local Folder

Journal Notes
•
DAT파일이 Journal Notes의 경로를 Plain Text로 저장
forensicinsight.org
Page 25 / 83
Windows 8 Artifacts
Local Folder

Journal Notes
forensicinsight.org
Page 26 / 83
Windows 8 Artifacts
Local Folder

IE 10 Pinned Favorites
•
파일명은 10개의 정수로 표현되며, 즐겨찾기 내역을 Plain Text로 보여준다.
forensicinsight.org
Page 27 / 83
Windows 8 Artifacts
Local Folder

Desktop Tools
•
과거의 Start Menu의 Accessories and System Tools와 비슷하다.
•
Taskbar에서 우클릭하여 접근 가능
•
3가지 그룹으로 나뉘며, 그룹으로 나뉘어진 애플리케이션은 각각의 링크파일를 가진다.
 그룹 1 Desktop
 그룹 2 Run comand, Search, Windows Explorer, Control Panel, Task Manager
 그룹 3 Run as Administrator Command Prompt, Command Prompt, Computer Managemnet,
Disk Management, device Manager, System, Event Viewer, Power Options, Nerwork
Connections, Programs and Features
forensicinsight.org
Page 28 / 83
Windows 8 Artifacts
Local Folder

Desktop Tools
forensicinsight.org
Page 29 / 83
Windows 8 Artifacts
Local Folder

Metro App Web Cache
•
App을 통해 Web으로 접근한 Cache 내역을 저장
forensicinsight.org
Page 30 / 83
Windows 8 Artifacts
Local Folder

Metro App Cookies
•
App이 사용한 Cookie들을 저장하고 있으며, 현재 Cookie와 거의 다르지 않다.
forensicinsight.org
Page 31 / 83
Windows 8 Artifacts
Communications App



사용자 행위와 관련하여 포렌식적으로 유용한 정보를 제공한다.
시스템에서 흔적을 제거하였을 때, 사용자 행위를 확인할 수 있다.
Email, Chat, Facebook, 그 외 소셜 사이트 정보를 저장하고 있다.

Web Cache
•
Web Cache에서 Facebook에서 확인한 사진들을 확인할 수 있다.
애플리케이션
Communication App
Web Cache

경로
목적
%SystemRoot%\Users\%User%\App
Data\Local\Packages\Microsoft.wind
owscommunicationsapps_8wekyb3d8b
bwe\AC\INetCache
Facebook 사용자 프로파일 사진
및 Facebook에서 확인한 사진 확
인 가능
Web Cookies
•
Cookie들 중 일부 파일은 Facebook offline에서 전달되지 않은 메시지 등을 저장한다.
애플리케이션
Communication App
Cookies
forensicinsight.org
경로
목적
%SystemRoot%\Users\%User%\App
Data\Local\Packages\Microsoft.wind
owscommunicationsapps_8wekyb3d8b
bwe\AC\INetCookies
Communication App에서 사용한
Cookie들이 저장되어 있다.
Page 32 / 83
Windows 8 Artifacts
Communications App

Web Cache
forensicinsight.org
Page 33 / 83
Windows 8 Artifacts
Communications App

Digital Certificate
•
Digital Certificate은 인터넷 서핑, Email 등 을 사용할 때, Client와 Server를 인증하기 위해 사
용된다.
•
개인키(Private Key) / 공개키(Public Key)를 사용하여 Encrypt / Decrypt 한다.
•
Digital Certificate이 저장하고 있는 정보
 소유자의 공개키 / 소유자의 이름과 / 주소
 인증 만료 날짜 / 인증 시리얼 넘버 /인증을 발간한 조직
 인증을 발간한 조직의 디지털 시그너처
애플리케이션
Communication App
Digital Certificates
forensicinsight.org
경로
목적
%SystemRoot%\Users\%User%\App
Data\Local\Packages\Microsoft.wind
owscommunicationsapps_8wekyb3d8b
bwe\AC\Microsoft\CryptnetURLCach
e\Content
Communication App이 사용하는
인증들을 담고 있다.
Page 34 / 83
Windows 8 Artifacts
Communications App

Digital Certificate
forensicinsight.org
Page 35 / 83
Windows 8 Artifacts
Communications App

What’s New
•
Email 주소, 물리 주소(실제 집), 핸드폰 번호 등을 담고 있다.
•
Facebook, Email, Twitter 등과 같은 개인 정보를 담고 있는 데이터를 포함한다.
애플리케이션
User’s “What’s New”
Updates
forensicinsight.org
경로
목적
%SystemRoot%\Users\%User%\App
Data\Local\Packages\Microsoft.wind
owscommunicationsapps_8wekyb3d8b
bwe\AC\Microsoft\Internet
Explorer\DOMStore\%HistoryFolder%\microsoft[#].xml
Email 주소, 물리 주소(실제 집), 핸
드폰 번호 등 개인 정보를 포함하
고 있는 데이터를 포함한다.
Page 36 / 83
Windows 8 Artifacts
Communications App

What’s New
forensicinsight.org
Page 37 / 83
Windows 8 Artifacts
Communications App

What’s New
forensicinsight.org
Page 38 / 83
Windows 8 Artifacts
Communications App

Email
•
Email 주소, 물리 주소(실제 집), 핸드폰 번호 등을 담고 있다.
•
Email 마다 Stream을 저장하고 있다. Stream을 저장하는 파일 명은 아래와 같다.
 12000001~9/a-f_##################.eml.OECustomProperty
•
Email 파일명은 “12000001~9/a-f_##################.eml“와 같다.
 예를 들어 Email이 1200012f_129755557158031487.eml이면, Stream은
1200012f_129755557158031487.eml.OECustomProperty이다.
애플리케이션
User’s “What’s New”
Updates
forensicinsight.org
경로
목적
%SystemRoot%\Users\%User%\App
Data\Local\Packages\Microsoft.wind
owscommunicationsapps_8wekyb3d8b
bwe\LocalState\Indexed\LiveComm
\dorumugs@live.co.kr\16.2\Mail
Email 주소, 물리 주소(실제 집), 핸
드폰 번호 등 개인 정보를 포함하
고 있는 데이터를 포함한다.
Page 39 / 83
Windows 8 Artifacts
Communications App

Email - Stream
forensicinsight.org
Page 40 / 83
Windows 8 Artifacts
Communications App

Email
forensicinsight.org
Page 41 / 83
Windows 8 Artifacts
Communications App

User’s Contact
•
Communication App을 사용하여 소셜 미디어에 접근할 경우, 사용자 및 친구들에 대한 사진을
획득할 수 있다.
애플리케이션
경로
목적
User’s Contacts from
Communications App
%SystemRoot%\Users\%User%\App
Data\Local\Packages\Microsoft.wind
owscommunicationsapps_8wekyb3d8b
bwe\\LocalState\LiveComm\%User's
WindowsLiveEmail
Address%\%AppCurretVersion%\DBS
tore\LogFiles\edb####.log
사용자 및 친구들의 사진이 저장
된 경로를 알려준다.
User Tile Associated With
Contact
%SystemRoot%\Users\%User%\App
Data\Local\Packages\Microsoft.wind
owscommunicationsapps_8wekyb3d8b
bwe\\LocalState\LiveComm\%User's
WindowsLiveEmail
Address%\%AppCurretVersion%\DBS
tore\UserTiles
사용자 및 친구들의 사진이 저장
되어 있다.
forensicinsight.org
Page 42 / 83
Windows 8 Artifacts
Communications App

User’s Contact
forensicinsight.org
Page 43 / 83
Windows 8 Artifacts
Communications App

User’s Contact
forensicinsight.org
Page 44 / 83
Windows 8 Artifacts
Communications App

App Setting
•
Communications App에 대한 설정 정보를 Compound 파일인 setting.dat에 저장하고 있다.
•
Setting.dat는 Windows Live 계정, 캘린더, 채팅, Email, People 등의 정보를 담고 있다.
애플리케이션
Communications App
Settings
forensicinsight.org
경로
목적
%SystemRoot%\Users\%User%\App
Data\Local\Packages\microsoft.wind
owscommunicationsapps_8wekyb3d8b
bwe\Settings\setting.dat
Communication App이 설정 내용
을 담고 있다.
Page 45 / 83
Windows 8 Artifacts
Communications App

App Setting
forensicinsight.org
Page 46 / 83
Windows 8 Registry
forensicinsight.org
-
NTUSER.DAT
-
SAM
-
SYSTEM
-
USB STORAGE DEVICES
-
SOFTWARE
Page 47 / 83
Windows 8 Registry
NTUSER.DAT




특정 사용자에 대한 정보를 기록한다.
시스템에 여러 사용자가 존재할 경우, NTUSER.DAT도 여러 개 존재하게 된다.
사용자가 열였던 파일, 사용한 애플리케이션, 방문했던 웹사이트 등을 기록한다.
“%SystemRoot%\Users\%User%\NTUSER.DAT” 경로에 존재
정보
경로
Recent Docs
Windows\CurrentVerson\Explorer\Recent Docs
Recently Opened/Saved
Files
Windows\CurrentVerson\Explorer\ComDlg32\OpenSavePidlMRU
Recently Opened/Saved
Folders
Windows\CurrentVerson\Explorer\ComDlg32\LastVisitedPidlMRU
Last Visited Folder
Windows\CurrentVerson\Explorer\ComDlg32\LastVisitedPidlMRULegacy
Recently Used Apps
(Nun-Metro Apps)
Windows\CurrentVerson\Explorer\ComDlg32\CIDSizeMRU
forensicinsight.org
Page 48 / 83
Windows 8 Registry
NTUSER.DAT
정보
경로
Recently Used Apps
with Saved Files
Windows\CurrentVerson\Explorer\ComDlg32\FirstFolder
Recently Run Items
Windows\CurrentVerson\Explorer\Policies\RunMRU
Computer Name &
Volume S/N
WindowsMedia\WMSDK\General
File Extension
Associations
Windows\CurrentVersion\Explorer\FileExts
Typed URLs
Internet Explorer\TypedURLs
Typed URL Time
Internet Explorer\TypedURLsTime
forensicinsight.org
Page 49 / 83
Windows 8 Registry
NTUSER.DAT

Typed URL Time
•
Software\Microsoft\Internet Explorer\TypedURLsTime\
 1601년 1월 1일 GMT 00:00:00 이후의 시간을 100나노세컨트드로 계산하여 바이너리 저장
(Windows FILETIME)
•
Software\Microsoft\Internet Explorer\TypedURLs\
 URL들을 확인할 수 있으며, 시간 정보는 TypedURLsTime에서 확인 가능
forensicinsight.org
Page 50 / 83
Windows 8 Registry
NTUSER.DAT

Typed URL Time
•
Software\Microsoft\Internet Explorer\TypedURLs\
forensicinsight.org
Page 51 / 83
Windows 8 Registry
NTUSER.DAT

Typed URL Time
•
Software\Microsoft\Internet Explorer\TypedURLsTime\
forensicinsight.org
Page 52 / 83
Windows 8 Registry
SAM



사용자 계정에 대한 정보를 담고 있다. (어느 도메인 / 어떤 경로)
SAM에 저장된 사용자 이름은 로그인할 때 사용되거나 RID(Rdlative Identifier)로 사
용된다.
“%SystemRoot%\Windows\System32\Config\SAM 경로에 존재한다.
정보
경로
Last Logon
Domains\Account\Users\%UserNumber%\F
Last Password Change
Domains\Account\Users\%UserNumber%\F
Account Expireation
Domains\Account\Users\%UserNumber%\F
Last Failed Logon
Domains\Account\Users\%UserNumber%\F
User’s RID
Domains\Account\Users\%UserNumber%\F
Internet User Name
Domains\Account\Users\%UserNumber%\InternetUserName
User’s First Name
Domains\Account\Users\%UserNumber%\GivenName
User’s Last Name
Domains\Account\Users\%UserNumber%\Surname
User’s Tile
Domains\Account\Users\%UserNumber%\UserTile
forensicinsight.org
Page 53 / 83
Windows 8 Registry
SAM

User name
•
Last Name : Domains\Account\Users\%UserNumber%\GivenName
•
First Name : Domains\Account\Users\%UserNumber%\Surname
forensicinsight.org
Page 54 / 83
Windows 8 Registry
SAM

F
•
Last Logon
 0x8-15의 8byte값 / SAM\Domains\Account\Users\%UserNumber%\F
•
Last Password Change
 0x24-31의 8byte값 / SAM\Domains\Account\Users\%UserNumber%\F
•
Account Expiration
 0x32-39의 8byte값 / SAM\Domains\Account\Users\%UserNumber%\F
 설정이 되어있지 않으면, 시간정보가 확인이 안되며, FF FF FF FF 로 표현된다.
•
Last Failed Logon
 0x40-47의 8byte값 / SAM\Domains\Account\Users\%UserNumber%\F
•
User's RID(Relative Identifier)
 0x48-49의 2byte값 / SAM\Domains\Account\Users\%UserNumber%\F
forensicinsight.org
Page 55 / 83
Windows 8 Registry
SAM

F
forensicinsight.org
Page 56 / 83
Windows 8 Registry
SAM

Uesr’s Tile
forensicinsight.org
Page 57 / 83
Windows 8 Registry
SYSTEM


Device에 할당된 Drive Letter, 컴퓨터 이름, 타임존, 시스템에서 사용한 USB 등 과 같
은 정보를 담고 있으며, Control Set은 시스템 부팅과 관련된 설정을 담고 있다.
%SystemRoot%\Windows\System32\config\System
정보
경로
Current Control Set
Select\Current
Last Known Good Control set
Select\LastKnownGood
Mounted Devices
MountedDevices
Files Excluded from Restore
%CurrentControlSet%\Control\BackupRestore
Computer name
%CurrentControlSet%\Control\ComputerName
TimeZone
%CurrentControlSet%\Control\TimeZoneInformation\Ti
meZoneKeyName
Last Graceful Shutdown time
%CurrentControlSet%Control\Windows\ShutdownTime
Printers
%CurrentControlSet%\Enum\SWM\PRINTENUM
Sensors & Location Devices
%CurrentControlSet%\Enum\SWM\SensorsAndLocation
Enum\HardWareID
USB Storage Devices
%CurrentControlSet%\Enum\USBSTOR
forensicinsight.org
Page 58 / 83
Windows 8 Registry
SYSTEM

Current Control Set / Current : 01은 현재 ControlSet001이라고는 것을 알려준다.
forensicinsight.org
Page 59 / 83
Windows 8 Registry
SYSTEM

LastKnownGood : 마지막에 성공적으로 부팅한 Control Set 번호
forensicinsight.org
Page 60 / 83
Windows 8 Registry
SYSTEM

Mounted Devices : Device Letter를 저장 / Letter당 하나의 장비만 저장
forensicinsight.org
Page 61 / 83
Windows 8 Registry
SYSTEM

Mounted Devices : Device Letter를 저장
forensicinsight.org
Page 62 / 83
Windows 8 Registry
SYSTEM

Last GraceFul Shudown Time : 마지막 정상 종료 시간(Windows FILETIME)
forensicinsight.org
Page 63 / 83
Windows 8 Registry
SYSTEM

Sensor and Location Devices
•
Windows 7부터 사용, Internet을 통하여 받아 올 수 있는 기능(예 : GPS)을 사용하게 설정
forensicinsight.org
Page 64 / 83
Windows 8 Registry
USB STORAGE DEVICES

USBSTOR는 USB의 이름, Vendor ID, Product ID, Revision Number, Serial Number를
확인 가능
•

SYSTEM\CurrentControlSet\Enum\USBSTOR
FriendlyName은 USB이름을 확인 가능
•
SYSTEM\%CurrentControlSet%\Enum\USBSTOR\Disk&Ven_General&Prod_USB_Flash_Disk
&Rev_1100\%Unique Instance ID%&0\FriendlyName

USB의 이름에서 Unique Instance ID와 Container ID를 확인 가능
•
SYSTEM\CurrentControlSet\Enum\USBSTOR\%USB Name%\%Unique Instance
ID%\ContainID
forensicinsight.org
Page 65 / 83
Windows 8 Registry
USB STORAGE DEVICES


DeviceContainers에서 Container ID에 따른 GUID, VID, PID 확인 가능
•
System\CurrentControlSet\Control\DeviceContainers\%ContainerID%\BaseContainers
•
System\CurrentControlSet\Control\DeviceContainers\%ContainerID%\Properties
USB의 VID와 PID를 통해, USB가 Plugin된 시간 확인 가능
•
SYSTEM\%CurrentControlSet%\Enum\USB\%VID/PID%\Unique Instance
ID%\Properties\{83da6326-97a6-4088-9453-a1923f573b29}\0064\0000

LocationInformation을 통해서 USB Hub와 Port를 확인 가능
•
SYSTEM\%CurrentControlSet%\Enum\USB\%VID/PID%\Unique Instance
ID%\LocationInformation
forensicinsight.org
Page 66 / 83
Windows 8 Registry
USB STORAGE DEVICES

USBSTOR
forensicinsight.org
Page 67 / 83
Windows 8 Registry
USB STORAGE DEVICES

FriendlyName
forensicinsight.org
Page 68 / 83
Windows 8 Registry
USB STORAGE DEVICES

Unique Instance ID / Container ID
forensicinsight.org
Page 69 / 83
Windows 8 Registry
USB STORAGE DEVICES

GUID / VID / PID
forensicinsight.org
Page 70 / 83
Windows 8 Registry
USB STORAGE DEVICES

USB Plugin Time(Windows FILETIME)
forensicinsight.org
Page 71 / 83
Windows 8 Registry
USB STORAGE DEVICES

Hub / Port
forensicinsight.org
Page 72 / 83
Windows 8 Registry
SOFTWARE


OS에 대한 정보. Version, Installed Time, Registerd Owner, Last User to Logon,
Members of a Group 등을 기록하고 있다.
%SystemRoot%\Windows\System32\config\SOFTWARE
정보
경로
Current OS Build
Microsoft\Windows NT\CurrentVersion\CurrentBuild
Current OS Version
Microsoft\Windows NT\CurrentVersion\CurrentVersion
OS Edition
Microsoft\Windows NT\CurrentVersion\EditionID
OS Install Date
Microsoft\Windows NT\CurrentVersion\InstallDate
OS Install Location
Microsoft\Windows NT\CurrentVersion\PathName
OS Product Name
Microsoft\Windows NT\CurrentVersion\ProductName
Register Organization
Microsoft\Windows NT\CurrentVersion\Registered
Registered Owner
Microsoft\Windows NT\CurrentVersion\RegisteredOwner
Metro Apps Installed
on System
Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Appli
cations
forensicinsight.org
Page 73 / 83
Windows 8 Registry
SOFTWARE
정보
경로
User Account
Installed Metro Apps
Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\%SID
%
Last Logged On User
Microsoft\Windows\CurrentVersion\Authentication\LogonUI\LastL
oggedOnUser
Last Logged SAM
USER
Microsoft\Windows\CurrentVersion\Authentication\LogonUI\LastL
oggedOnSAMUser
Last Logged On SID
User
Microsoft\Windows\CurrentVersion\Authentication\LogonUI\LastL
oggedOnSIDUser
Group Members
Microsoft\Windows\CurrentVersion\HomeGroup\HME
File/Folder Sharing
(by SID)
Microsoft\Windows\CurrentVersion\HomeGroup\HME\SharingPre
ferences\%SID%
Applications That
Run At Starup
Microsoft\Windows\CurrentVersion\Run
forensicinsight.org
Page 74 / 83
Windows 8 ETC
forensicinsight.org
-
EVENT LOG
-
Prefetch
-
$Recycle.Bin
Page 75 / 83
Windows 8 ETC
EVENT LOG


Windows 7 / windos 2008과 같은 EVTX 내부구조를 사용한다.
%SystemRoot%\Windows\System32\winevt\Logs\System.evtx
forensicinsight.org
Page 76 / 83
Windows 8 ETC
EVENT LOG
forensicinsight.org
Page 77 / 83
Windows 8 ETC
Prefetch

기본 설정의 Windows 8은 Prefetch 파일을 가지고 있지 않다.

설정 정보
•
%SystemRoot%\Windows\System32\config\SYSTEM\ControlSet001\Control\Session
Manager\Memory Management\PrefetchParameters\EnablePrefetcher
 Windows 7과 같은 경로를 가지고 있지만, EnablePrefetcher 값은 존재하지 않는다.
 EnablePrefetcher값을 생성하여, 부팅하여도 Prefetch는 생성되지 않는다.

Prefetch 경로
•
%SystemRoot%\Windows\Prefetch\
forensicinsight.org
Page 78 / 83
Windows 8 ETC
Prefetch
forensicinsight.org
Page 79 / 83
Windows 8 ETC
$Recycle.Bin

%SystemRoot%\$Recycle.Bin\%USER SID%\
forensicinsight.org
Page 80 / 83
결론

Windows 8은 Windows Live ID를 사용하여 접근하는 정보가 다양하다.
•

Windows Logon, Email, Messagine, ETC
Communication App으로 인한, 개인정보 보호 미약
•
사용자의 시스템이 침해 당할 경우, 사용자의 개정정보 뿐만 아니라 Calendar, Email Address,
Email Contents 등에 등록되어 있는 사람들에 대한 정보도 같이 유출될 수 있다.

인터넷 히스토리 내역을 저장하고 있는 파일이 변경되었다.
•

기존의 Index,dat가 WebCacheV24.dat로 변경되었다.
Prefech 생성
•
Prefetch 생성 파라미터를 변경하여도, Prefech는 생성되지 않는다.
forensicinsight.org
Page 81 / 83
참고

다운로드
•
http://windows.microsoft.com/en-US/windows-
8/download?ocid=W_MSC_W8P_DevCenter_MetroApps_EN-US

참고
•
http://grandstreamdreams.blogspot.com/2012/04/windows-8-linkage-passage-publicmetro.html
•
http://propellerheadforensics.files.wordpress.com/2012/04/thomson_windows-8-forensic-
guide.pdf
forensicinsight.org
Page 82 / 83
질문 & 답변
forensicinsight.org
Page 83 / 83