Windows 사용자 추적 방법 – RegRipper, Userassist Keys, MUICache, MRUList, Typedurls, Exchange
Windows 사용자 추적 방법 현재 우리가 분석하고 있는 사고는 시스템 장애가 아닌 누군가 침입하여 조작하였다는 것을 가정으로 진행하고 있다. 따라서 누군가 침입하였다면, 분명 시스템을 사용한 흔적들이 레지스트리, 혹은 파일, 유저 데이터 영역에 남아 있게 된다. 이를 타임라인으로 통합을 통해 나누어 분석하게 되면, 사용자가 어떠한 작업을 진행하였는지 을 알 수 있다. 이와 같은 사용자 추적이 필요한 이유는 침입 경로와 실행 개체를 확인해 공격된 경로를 알아냄으로써, 사고 머신에 발견하지 못한 흔적을 찾고, 침입할 수 있었던 취약점을 함께 확인 할 수 있다. 그럼 사용자의 흔적을 추적하는데 용의한 데이터를 확인하는 방법에 대해 알아보자. 사용자와 흔적에 관련된 파일은 Ntuser.dat 파일에 저장되어..
2022. 4. 15.
