(NTUSER.DAT는 삭제하면 안된다. 삭제할 이유가 없다.)
최근 CTF에서 NTUSER.DAT을 사용해서 문제를 몇 번 풀었는데, NTUSER.DAT을 통해 얻을 수 있는 유의미한 정보들이 뭐가 있는지 정리해 보았다. 아래 내용이 정확하진 않으니 참고만 해주세요..
NTUSER.DAT
윈도우 사용자 계정 프로필 정보가 포함된 레지스트리 파일
/Users/ 밑의 각 유저 폴더안에 존재
분석
이미지 파일에서 Autopsy로 분석하거나
NTUSER.DAT파일만 가지고 access data의 registry viewer나 REGA 등으로 분석이 가능하다.
또는 regriper 로 간단하게 볼 수도 있다.
forensic.korea.ac.kr/DFWIKI/index.php/RegRipper
RegRipper - Digital Forensic Wikipedia
Regripper는 Harlan Carvey에서 개발한 레지스트리 분석 도구로 오픈소스로 제공된다. 최신 업데이트는 2013년 4월이며, 최신 버전은 v2.8이다. 본 항에서는 최신버전인 v2.8버전을 사용하였다. Regripper는 C
forensic.korea.ac.kr
github.com/keydet89/RegRipper3.0
keydet89/RegRipper3.0
RegRipper3.0. Contribute to keydet89/RegRipper3.0 development by creating an account on GitHub.
github.com
regripper을 사용하면 txt 파일 형태로 정리된 내용을 볼 수 있다.
생성된 txt 파일에는 여러 정보가 담겨 있다.
그 중에서 유의미한, 쓸만한 정보들만 추려보았다.
국가/지역
최근 문서
최근 문서 목록에 남아 있는 기준이 기간인지, 개수인지는 정확하게 알아보지 않았으나, 본인 PC의 ntuser.dat을 확인해 본 결과, RecentDocs에 약 150개정도가 기록되어 있었다. 개수보다는 기간을 기준으로 오래된 내역은 삭제되는 듯 싶다.
RecentDocs\.txt 에서는 \.txt처럼 \.hwp \.pdf \.png 등 거의 모든 확장자별로 기록되어 있다.
기록된 내용은 앞에 붙은 번호 상관없이 최상단에 있는 내용이 가장 최근 내역이다.
자동 실행 응용프로그램
탐색기 경로창에 입력한 내역
인터넷 익스플로러 url창에 입력한 내역
ie 방문기록을 확인할 수 없는 경우에는 이 부분을 확인해 보자.
typedurlstime에는 각 기록별 시각도 나온다.
설치된 응용프로그램 삭제 내역
삭제한 시각도 같이 나온다.
윈도우 검색 기능을 이용하여 검색한 내역
'Project > Information' 카테고리의 다른 글
| 이클립스 eclipse objectaid class diagram UML 2021 (2) | 2021.11.25 |
|---|---|
| 2020년 새로운 Wargame 사이트 추천! CTF, Hacking (0) | 2020.06.04 |
| discord js 설치, 실행 오류 / 오디오 재생 오류 문제 해결 (0) | 2020.01.30 |
| iconv() KSC5601 simple_html_dom.php 오류 해결 방법 (0) | 2019.12.27 |
| 정기 구독 실제 지불 금액 (유튜브 프리미엄, 디스코드 니트로, 마인크래프트 렐름) (0) | 2019.12.21 |