728x90
반응형

(NTUSER.DAT는 삭제하면 안된다. 삭제할 이유가 없다.)


최근 CTF에서 NTUSER.DAT을 사용해서 문제를 몇 번 풀었는데, NTUSER.DAT을 통해 얻을 수 있는 유의미한 정보들이 뭐가 있는지 정리해 보았다. 아래 내용이 정확하진 않으니 참고만 해주세요..

 

NTUSER.DAT

윈도우 사용자 계정 프로필 정보가 포함된 레지스트리 파일

/Users/ 밑의 각 유저 폴더안에 존재

 

 

분석

이미지 파일에서 Autopsy로 분석하거나

NTUSER.DAT파일만 가지고 access data의 registry viewer나 REGA 등으로 분석이 가능하다.

 

또는 regriper 로 간단하게 볼 수도 있다.

forensic.korea.ac.kr/DFWIKI/index.php/RegRipper

 

RegRipper - Digital Forensic Wikipedia

Regripper는 Harlan Carvey에서 개발한 레지스트리 분석 도구로 오픈소스로 제공된다. 최신 업데이트는 2013년 4월이며, 최신 버전은 v2.8이다. 본 항에서는 최신버전인 v2.8버전을 사용하였다. Regripper는 C

forensic.korea.ac.kr

github.com/keydet89/RegRipper3.0

 

keydet89/RegRipper3.0

RegRipper3.0. Contribute to keydet89/RegRipper3.0 development by creating an account on GitHub.

github.com

 

regripper을 사용하면 txt 파일 형태로 정리된 내용을 볼 수 있다.

 

 

생성된 txt 파일에는 여러 정보가 담겨 있다.

그 중에서 유의미한, 쓸만한 정보들만 추려보았다.

 

 

국가/지역

 

최근 문서

최근 문서 목록에 남아 있는 기준이 기간인지, 개수인지는 정확하게 알아보지 않았으나, 본인 PC의 ntuser.dat을 확인해 본 결과, RecentDocs에 약 150개정도가 기록되어 있었다. 개수보다는 기간을 기준으로 오래된 내역은 삭제되는 듯 싶다.

 

RecentDocs\.txt 에서는 \.txt처럼 \.hwp \.pdf \.png 등 거의 모든 확장자별로 기록되어 있다.

 

기록된 내용은 앞에 붙은 번호 상관없이 최상단에 있는 내용이 가장 최근 내역이다.

 

728x90

자동 실행 응용프로그램

 

탐색기 경로창에 입력한 내역

 

인터넷 익스플로러 url창에 입력한 내역

ie 방문기록을 확인할 수 없는 경우에는 이 부분을 확인해 보자.

typedurlstime에는 각 기록별 시각도 나온다.

 

설치된 응용프로그램 삭제 내역

삭제한 시각도 같이 나온다.

 

윈도우 검색 기능을 이용하여 검색한 내역

728x90
반응형

+ Recent posts