제 10회 디지털 범인을 찾아라 - 문제 풀이 보고서 #4-1 아티팩트 분석 (운영체제 분석)
본 글은 요청시 풀이 보고서가 내려갈 수 있으며,
만약 저작권 등에 위반된다면, 지체없이 댓글 또는 pental@kakao.com 으로 연락주시길 바라겠습니다.
해당 블로그에서는 총 6개의 분석 섹션으로 나눠 포스팅을 할 예정이다. 각각 섹션은 다음과 같다. 현재 세션은 굵은 글씨로 표시되어 있다.
1. 이미징 작업
2. 손상된 파티션 복구
3. 파티션 목록
4. 아티팩트 분석
1. 운영체제 분석
1.1. PC 정보 분석
1.2. PC 사용자 분석
1.3. 설치된 프로그램 분석
2. 웹 아티팩트 분석
2.1. Chrome 분석
2.2. Edge 분석
2.3. Firefox 분석
3. Email 분석
4. 메신저 분석
4.1. Telegram 분석
4.2. WeChat 분석
5. 음원 파일 분석
5.1. 웹 다운로드 음원 파일
5.2. 이메일 첨부파일 음원 파일
5.3. 로컬에 존재하는 음원 파일
6. 안티포렌식 분석
5. 타임라인
6. 문제풀이
4. 아티팩트 분석
1. 운영체제 분석
1.1. PC 정보 분석
PC정보는 다음과 같은 경로에서 데이터를 확인할 수 있다.
| Partition3\PC\Windows\System32\config\SOFTWARE - Microsoft\Windows NT\CurrentVersion |
| Partition3\PC\Windows\System32\config\SYSTEM - ControlSet001\Control\Windows - ControlSet001\services\Tcpip\Parameters - ControlSet001\Control\ComputerName\ComputerName - ControlSet001\Control\FileSystem |
표 10 PC 정보 분석에 사용된 경로
그림 8 REGA를 이용한 윈도우 설치 정보 확인
확인된 정보는 다음 표와 같다.
| 항목 | 값 |
| 운영체제 | Windows 11 Core |
| 버전 정보 | 6.3 |
| 빌드 번호 | 22631 |
| 운영체제 설치 시간 | 2024-07-15 PM 8:10:07 |
| 마지막 종료 시간 | 2024-08-07 PM 9:15:56 |
| 제품 키 | YTMG3-N6DKC-DKB77-7M9GH-8HVX7 |
| 컴퓨터 이름 | DESKTOP-9S04FS6 |
| DHCP DNS 서버 | 192.168.1.254 |
표 11 PC 정보 결과
1.2. PC 사용자 분석
사용자 계정 정보는 다음과 같은 경로에서 데이터를 확인할 수 있다.
| Partition3\PC\Windows\System32\config\SAM - SAM\Domains\Account\Users - SAM\Domains\Builtin\Aliases |
| Partition3\PC\Windows\System32\config\SOFTWARE - Microsoft\Windows NT\CurrentVersion\ProfileList |
표 12 사용자 계정 분석에 사용된 경로
그림 9 REGA를 이용한 사용자 계정 분석
확인된 로컬 계정은 총 1개이며 아래는 분석된 결과이다. (기본 계정 제외)
| 항목 | 값 |
| 사용자 이름 | PC |
| 사용자 유형 | Local User |
| 보안 식별자 | S-1-5-21-2156326665-3317374212-2067644957-1001 |
| 상대 식별자 | 1001 |
| 프로필 경로 | C:\Users\PC |
| 마지막 로컬 로그인 시간 | 2024-08-07 PM 7:39:56 |
| 암호 설정 여부 | True |
| 사용자 그룹 | Administrators |
| 로컬 로그인 횟수 | 32 |
표 13 사용자 계정 정보 결과
1.3. 설치된 프로그램 분석
설치된 프로그램 정보는 다음과 같은 경로에서 데이터를 확인할 수 있다.
| Partition3\PC\NTUSER.DAT - Software\Microsoft\Windows\CurrentVersion\Uninstall |
표 14 설치 프로그램 분석에 사용된 경로
그림 10 REGA를 이용한 설치된 프로그램 분석
설치가 확인된 프로그램은 총 29개 이며, 아래는 분석된 결과이다.
| 프로그램명 | 회사 | 설치 날짜 |
| Telegram Desktop | Telegram FZ-LLC | 2024-07-21 |
| Audacity 3.6.0 | Audacity Team | 2024-07-22 |
| Python 3.12.4 Core Interpreter (64-bit) | Python Software Foundation | 2024-07-22 |
| Python 3.12.4 Standard Library (64-bit) | Python Software Foundation | 2024-07-22 |
| Python 3.12.4 Tcl/Tk Support (64-bit) | Python Software Foundation | 2024-07-22 |
| Python 3.12.4 Executables (64-bit) | Python Software Foundation | 2024-07-22 |
| Python 3.12.4 Development Libraries (64-bit) | Python Software Foundation | 2024-07-22 |
| Python 3.12.4 Test Suite (64-bit) | Python Software Foundation | 2024-07-22 |
| Python 3.12.4 Documentation (64-bit) | Python Software Foundation | 2024-07-22 |
| Python 3.12.4 pip Bootstrap (64-bit) | Python Software Foundation | 2024-07-22 |
| Python Launcher | Python Software Foundation | 2024-07-22 |
| DeepSound 2.0 | Jpinsoft | 2024-07-30 |
| NVIDIA Install Application | NVIDIA Corporation | 2024-08-05 |
| NVIDIA Display Container | NVIDIA Corporation | 2024-08-05 |
| NVIDIA Display Container LS | NVIDIA Corporation | 2024-08-05 |
| NVIDIA Display Watchdog Plugin | NVIDIA Corporation | 2024-08-05 |
| NVIDIA Display Session Container | NVIDIA Corporation | 2024-08-05 |
| Google Chrome | Google LLC | 2024-08-05 |
| MapleStory Worlds | ||
| Windy | Social Friends Corp | |
| Python 3.12.4 (64-bit) | Python Software Foundation | |
| ELAN Touchpad 11.15.0.18_X64 | ELAN Microelectronic Corp. | |
| Everything 1.4.1.1024 (x64) | voidtools | |
| Mozilla Firefox (x64 ko) | Mozilla | |
| Mozilla Maintenance Service | Mozilla | |
| Everything (Windy 필수 프로그램) | voidtools | |
| 곰플레이어 | GOM & Company |
표 15 설치된 프로그램 정보 결과
설치된 프로그램에서 웹관련 프로그램은 Chrome, Edge, Firefox이며, 음원과 관련된 프로그램은 DeepSound, 곰플레이어, Audacity가 존재한다. 또한 메신저 프로그램으로는 Telegram이 존재하며 개발 관련 프로그램은 Python이 존재하는 것을 확인했다.
본 글은 요청시 삭제 될수 있는 포스팅입니다. 문제가 있다면 지체없이 댓글 또는 pental@kakao.com 으로 연락부탁드리겠습니다.
감사합니다.