반응형

(NTUSER.DAT는 삭제하면 안된다. 삭제할 이유가 없다.)


최근 CTF에서 NTUSER.DAT을 사용해서 문제를 몇 번 풀었는데, NTUSER.DAT을 통해 얻을 수 있는 유의미한 정보들이 뭐가 있는지 정리해 보았다. 아래 내용이 정확하진 않으니 참고만 해주세요..

 

NTUSER.DAT

윈도우 사용자 계정 프로필 정보가 포함된 레지스트리 파일

/Users/ 밑의 각 유저 폴더안에 존재

 

 

분석

이미지 파일에서 Autopsy로 분석하거나

NTUSER.DAT파일만 가지고 access data의 registry viewer나 REGA 등으로 분석이 가능하다.

 

또는 regriper 로 간단하게 볼 수도 있다.

forensic.korea.ac.kr/DFWIKI/index.php/RegRipper

 

RegRipper - Digital Forensic Wikipedia

Regripper는 Harlan Carvey에서 개발한 레지스트리 분석 도구로 오픈소스로 제공된다. 최신 업데이트는 2013년 4월이며, 최신 버전은 v2.8이다. 본 항에서는 최신버전인 v2.8버전을 사용하였다. Regripper는 C

forensic.korea.ac.kr

github.com/keydet89/RegRipper3.0

 

keydet89/RegRipper3.0

RegRipper3.0. Contribute to keydet89/RegRipper3.0 development by creating an account on GitHub.

github.com

 

regripper을 사용하면 txt 파일 형태로 정리된 내용을 볼 수 있다.

 

 

생성된 txt 파일에는 여러 정보가 담겨 있다.

그 중에서 유의미한, 쓸만한 정보들만 추려보았다.

 

 

국가/지역

 

최근 문서

최근 문서 목록에 남아 있는 기준이 기간인지, 개수인지는 정확하게 알아보지 않았으나, 본인 PC의 ntuser.dat을 확인해 본 결과, RecentDocs에 약 150개정도가 기록되어 있었다. 개수보다는 기간을 기준으로 오래된 내역은 삭제되는 듯 싶다.

 

RecentDocs\.txt 에서는 \.txt처럼 \.hwp \.pdf \.png 등 거의 모든 확장자별로 기록되어 있다.

 

기록된 내용은 앞에 붙은 번호 상관없이 최상단에 있는 내용이 가장 최근 내역이다.

 

자동 실행 응용프로그램

 

탐색기 경로창에 입력한 내역

 

인터넷 익스플로러 url창에 입력한 내역

ie 방문기록을 확인할 수 없는 경우에는 이 부분을 확인해 보자.

typedurlstime에는 각 기록별 시각도 나온다.

 

설치된 응용프로그램 삭제 내역

삭제한 시각도 같이 나온다.

 

윈도우 검색 기능을 이용하여 검색한 내역

반응형

+ Recent posts