2) 진짜 사용자는 누구인가?
레지스트리파일 분석 시 최초 사용자에 대해 물어볼 경우 : manager
이후 만들어진 사용자 : 게스트와 admin
manager = 000003E8
RID : relative identifier > 비교 분석값
F : fixed format > 고정적 형식
V : variable format > 유동적 형식
마지막 로그인 시간 : 8-15
(00 B7 6C BE F8 60 78 DB)
마지막 패스워드 변경 시간 24-31
(00 58 54 D7 7C E4 33 D6)
마지막 실패 로그인 시간 40-47
(7F 00 00 00 00 00 00 00)
로그온 횟수 : 66-67 (00 2F)
sid
f값
02 00 01 00 00 00 00 00 B7 6C
BE F8 60 78 DB 01 00 00 00 00
00 00 00 00 58 54 D7 7C E4 33
D6 01 FF FF FF FF FF FF FF 7F
00 00 00 00 00 00 00 00 E8 03
00 00 01 02 00 00 14 02 00 00
00 00 00 00 00 00 2F 00 01 00
00 00 00 00 21 01 00 00 00 00
구하는 파이썬 코드 만들어 보기
부팅 시간 확인하기 : f값을 통해 알 수 있음
소유자
NTUSER.DAT 분석하기
manager
/home/manager/bashrc
/etc/.profile
설치 날짜 경로 SOFTWARE에서 가져오기
Win7_Manager6-disk001:\Part1\Windows\System32\config\SOFTWARE
Microsoft\Windows NT\CurrentVersion
웹브라우저 히스토리 및 URL 기록
Software\Microsoft\Internet Explorer\TypedURLs (IE/Edge)
Software\Microsoft\Edge\TypedURLs(Edge)
Software\Mozilla\Mozilla FireFox(Firefox)
Software\Google\Chrome\PreferenceMACs(Chrome)
USB 장치 연결 기록
Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
최근 사용한 실행 명령어
Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
바탕화면 및 개인화면 설정
Control Panel\Desktop
최근 검색 기록
Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery
윈도우 운영체제의 설치에 관한 정보 분석
제품명
HKEY_LOCA_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion[Product]
등록된 소유자
HKEY_LOCA_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion[Registere]
>최초로 등록한 사용자의 계정명
> 컴퓨터 사용자를 특정하기 위한 출발점
컴퓨터 이름
> 컴퓨터 이름의 변경 과정의 다수의 사용자가 존재하는 기업 환경에서 컴퓨터 장비에
HKEY_LOCA_MACHINE\SYSTEM\\controlSet001\Services\Tcpip\Parameters[Hostn]
윈도우 운영체제 설치 시각
HKEY_LOCA_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion[InstallDa]
DCcode 프로그램 이용
https://www.digital-detective.net/decode
> 시간 정보 분석의 시발점
볼륨 포맷 시각
디스크 포맷이 이루어진 후 본격적으로 운영체제 설치
시간적 접착성
MAC(Modified, Accessed,Created)
NTUSER.DAT 파일은 사용자 프로파일이다.
사용자의 컴퓨터 활동 기록이 저장됨
3) 무슨 사이트에 접속하였는가?
4) 무슨 파일을 받았는가?
5) 파일을 실행했는가?
2 시나리오
해커가 업로드 기능을 이용하여 악성코드를 업로드 한 후
관리자가 파일을 다운로드 받는 경우에 대한 분석
분석 순서
컴퓨터는 언제 부팅 되었는가?
사용자는 누구인가
관리자는 몇번 시스템에 로그인 했는가
해커가 정보 수빙를 하는 시간은 언제 인가
무슨 정보를 수집하려고 했는가
공격을 했는가
공격을 했다면 무슨 흔적들이 남는가
웹서버에 파일이 업로드 했는가
관리자가 파일을 다운로드 받았는가
받고 실행은 했는가
2> manager
create user 'web1'@'%' identified by '123456';
grant all privileges on web1.*to 'web1'@'%';
create user 'web1'@'localhost' identified by '123456';
grant all privileges on web1.*to 'web1'@'localhost';
flush privileges;
create user 'web1'@'192.168.10.1' identified by '123456';
grant all privileges on web1.*to 'web1'@'192.168.10.1';
flush privileges;
.sql 파일 mysql에 넣어주기
방화벽
10.10.10.1 > st.kr 22001로 접속가능하도록 설정
10.10.10.2 > st.kr 22002
10.10.10.3 > st.kr 22003
15:00까지 시나리오 1
분석 완료 후 분석 내용 보고서 정리하여 작성