제 10회 디지털 범인을 찾아라 - 문제 풀이 보고서 #4-1 아티팩트 분석 (운영체제 분석)

본 글은 요청시 풀이 보고서가 내려갈 수 있으며,
만약 저작권 등에 위반된다면, 지체없이 댓글 또는 pental@kakao.com 으로 연락주시길 바라겠습니다.

 

해당 블로그에서는 총 6개의 분석 섹션으로 나눠 포스팅을 할 예정이다. 각각 섹션은 다음과 같다. 현재 세션은 굵은 글씨로 표시되어 있다.

1. 이미징 작업
2. 손상된 파티션 복구
3. 파티션 목록
4. 아티팩트 분석
    1. 운영체제 분석
      1.1. PC 정보 분석
      1.2. PC 사용자 분석
      1.3. 설치된 프로그램 분석
    2. 웹 아티팩트 분석
      2.1. Chrome 분석
      2.2. Edge 분석
      2.3. Firefox 분석
    3. Email 분석
    4. 메신저 분석
      4.1. Telegram 분석
      4.2. WeChat 분석
    5. 음원 파일 분석
      5.1. 웹 다운로드 음원 파일
      5.2. 이메일 첨부파일 음원 파일
      5.3. 로컬에 존재하는 음원 파일
    6. 안티포렌식 분석
5. 타임라인
6. 문제풀이

---

4.     아티팩트 분석

1. 운영체제 분석

1.1. PC 정보 분석

PC정보는 다음과 같은 경로에서 데이터를 확인할 수 있다.

Partition3\PC\Windows\System32\config\SOFTWARE -       Microsoft\Windows NT\CurrentVersion

Partition3\PC\Windows\System32\config\SYSTEM -       ControlSet001\Control\Windows -       ControlSet001\services\Tcpip\Parameters -       ControlSet001\Control\ComputerName\ComputerName -       ControlSet001\Control\FileSystem

표 10 PC 정보 분석에 사용된 경로

그림 8 REGA를 이용한 윈도우 설치 정보 확인

확인된 정보는 다음 표와 같다.

항목	값
운영체제	Windows 11 Core
버전 정보	6.3
빌드 번호	22631
운영체제 설치 시간	2024-07-15 PM 8:10:07
마지막 종료 시간	2024-08-07 PM 9:15:56
제품 키	YTMG3-N6DKC-DKB77-7M9GH-8HVX7
컴퓨터 이름	DESKTOP-9S04FS6
DHCP DNS 서버	192.168.1.254

표 11 PC 정보 결과

 

1.2. PC 사용자 분석

사용자 계정 정보는 다음과 같은 경로에서 데이터를 확인할 수 있다.

Partition3\PC\Windows\System32\config\SAM -       SAM\Domains\Account\Users -       SAM\Domains\Builtin\Aliases

Partition3\PC\Windows\System32\config\SOFTWARE -       Microsoft\Windows NT\CurrentVersion\ProfileList

표 12 사용자 계정 분석에 사용된 경로

그림 9 REGA를 이용한 사용자 계정 분석

 

확인된 로컬 계정은 총 1개이며 아래는 분석된 결과이다. (기본 계정 제외)

항목	값
사용자 이름	PC
사용자 유형	Local User
보안 식별자	S-1-5-21-2156326665-3317374212-2067644957-1001
상대 식별자	1001
프로필 경로	C:\Users\PC
마지막 로컬 로그인 시간	2024-08-07 PM 7:39:56
암호 설정 여부	True
사용자 그룹	Administrators
로컬 로그인 횟수	32

표 13 사용자 계정 정보 결과

 

1.3. 설치된 프로그램 분석

설치된 프로그램 정보는 다음과 같은 경로에서 데이터를 확인할 수 있다.

Partition3\PC\NTUSER.DAT -       Software\Microsoft\Windows\CurrentVersion\Uninstall

표 14 설치 프로그램 분석에 사용된 경로 

그림 10 REGA를 이용한 설치된 프로그램 분석

설치가 확인된 프로그램은 총 29개 이며, 아래는 분석된 결과이다.

프로그램명	회사	설치 날짜
Telegram Desktop	Telegram FZ-LLC	2024-07-21
Audacity 3.6.0	Audacity Team	2024-07-22
Python 3.12.4 Core Interpreter (64-bit)	Python Software Foundation	2024-07-22
Python 3.12.4 Standard Library (64-bit)	Python Software Foundation	2024-07-22
Python 3.12.4 Tcl/Tk Support (64-bit)	Python Software Foundation	2024-07-22
Python 3.12.4 Executables (64-bit)	Python Software Foundation	2024-07-22
Python 3.12.4 Development Libraries (64-bit)	Python Software Foundation	2024-07-22
Python 3.12.4 Test Suite (64-bit)	Python Software Foundation	2024-07-22
Python 3.12.4 Documentation (64-bit)	Python Software Foundation	2024-07-22
Python 3.12.4 pip Bootstrap (64-bit)	Python Software Foundation	2024-07-22
Python Launcher	Python Software Foundation	2024-07-22
DeepSound 2.0	Jpinsoft	2024-07-30
NVIDIA Install Application	NVIDIA Corporation	2024-08-05
NVIDIA Display Container	NVIDIA Corporation	2024-08-05
NVIDIA Display Container LS	NVIDIA Corporation	2024-08-05
NVIDIA Display Watchdog Plugin	NVIDIA Corporation	2024-08-05
NVIDIA Display Session Container	NVIDIA Corporation	2024-08-05
Google Chrome	Google LLC	2024-08-05
MapleStory Worlds
Windy	Social Friends Corp
Python 3.12.4 (64-bit)	Python Software Foundation
ELAN Touchpad 11.15.0.18_X64	ELAN Microelectronic Corp.
Everything 1.4.1.1024 (x64)	voidtools
Mozilla Firefox (x64 ko)	Mozilla
Mozilla Maintenance Service	Mozilla
Everything (Windy 필수 프로그램)	voidtools
곰플레이어	GOM & Company

표 15 설치된 프로그램 정보 결과

 

설치된 프로그램에서 웹관련 프로그램은 Chrome, Edge, Firefox이며, 음원과 관련된 프로그램은 DeepSound, 곰플레이어, Audacity가 존재한다. 또한 메신저 프로그램으로는 Telegram이 존재하며 개발 관련 프로그램은 Python이 존재하는 것을 확인했다.

 

본 글은 요청시 삭제 될수 있는 포스팅입니다. 문제가 있다면 지체없이 댓글 또는 pental@kakao.com 으로 연락부탁드리겠습니다.

감사합니다.