-
MFT
- NTFS 파일 시스템의 가장 핵심적인 부분
- MFT는 파일에 대한 메타 데이터를 저장
- 파일명, 크기, 생성/수정/접근 일자, 속성 등
- LiveResponseCollection 툴을 이용해서 추출 가능하며 MFT만 추출 원할 시 FTKImager 사용을 통해서도 추출 가능
- 분석을 위해서 analyzeMFT 툴 이용
프리패치
- 실제 파일이 생성되기 전에 생성되는 파일
- .pf 확장자를 가짐
- 침해사고 조사 시 최초 실행된 시간을 조사하기 위해 사용
- MFT에서 확인 한 pf 파일의 Creation Date에 -10 초를 해야 최초 실행 시간
- 여기서 -10 초의 이유는 파일 실행 후 약 10초간의 모니터링 진행 후 프리패치 파일이 생성되기 때문
- 최근 HDD에서 SSD 사용 추세로 넘어가며 사용을 안하는 경우 존재
- Service에서 프리패치 동작 여부 확인 필요
- Win10에서는 sysmain이라는 이름으로 변경됨
레지스트리와 하이브
- KEY
- "폴더"와 비슷한 개념
- 5개의 ROOT KEY를 가짐(Master Key, Derived Key(X) --- HIVE 파일만 존재)
- HKEY_LOCAL_MACHINE(M)
- 시스템 전체에 대한 환경 설정 정보가 담겨 있음
- HKEY_USERS(M)
- 시스템에 있는 "모든 사용자"와 관련된 정보가 담겨 있음
- HKEY_CURRENT_USER(D)
- 현재 로그인한 사용자와 관련된 정보가 담겨 있음
- HKEY_CLASS_ROOT(D)
- 운영체제에서 확장자를 실행할 프로그램을 지정함
- HKEY_CURRENT_CONFIG(D)
- VALUE
- VALUE DATA
- " ?????\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "
- 자동 실행 기점(Persistence)
- 앞의 경로에 따라 Local Machine, 즉 시스템으로 등록된건지 특정 유저에만 등록된건지 확인 가능
