관리 메뉴

CHIqueen

최근 실행 흔적 찾기 본문

포렌식/Analysis

최근 실행 흔적 찾기

CHIqueen 2018. 12. 19. 08:36

작년에 대회에서 풀지 못한 문제인데 갑자기 생각나서 찾아보려고 한다.

 

기억상으로 문제는 메모리에서 실행(Win+R)을 통해 실행한 것이 무엇인지를 찾는 문제 였다.

 

그때 이 문제를 잡고 몇 시간을 난리 쳤는데 풀지 못했던 문제 였다.(아무도 못품)

 

지금와서 생각하면 레지스트리키만 뽑아오면 끝나는 문제다.

 

실행창에서 실행한 명령어는 RunMRU라는 곳에 저장된다.

 HKCU\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

 

 

여기서 MRUList의 값이 ba라고 되어있는데 이는 실행 순서이다.

그니까 b가 제일 최근에 실행이 되었음을 알 수 있다.

 

우리는 이를 메모리에서 찾아 보려고 한다.

 

HKCU는 NTUSER.dat파일을 보면 된다.

 

 

먼저 hivelist 플러그인으로 하이브 파일 리스트를 보자.

$ vol.py -f Windows\ 7\ x64-6918a90d.vmem --profile=Win7SP1x64 hivelist
Volatility Foundation Volatility Framework 2.6
Virtual            Physical           Name
------------------ ------------------ ----
0xfffff8a00000f010 0x000000002d625010 [no name]
0xfffff8a000024010 0x000000002d5f0010 \REGISTRY\MACHINE\SYSTEM
0xfffff8a000053010 0x000000002d59f010 \REGISTRY\MACHINE\HARDWARE
0xfffff8a000bb3010 0x000000001da80010 \SystemRoot\System32\Config\DEFAULT
0xfffff8a000bbc010 0x0000000029051010 \SystemRoot\System32\Config\SECURITY
0xfffff8a000bbf010 0x0000000029114010 \SystemRoot\System32\Config\SAM
0xfffff8a000bc6010 0x0000000029097010 \SystemRoot\System32\Config\SOFTWARE
0xfffff8a001316010 0x000000001f48b010 \??\C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
0xfffff8a0013b7010 0x000000001f116010 \??\C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
0xfffff8a001531010 0x000000001a735010 \??\C:\Users\CHIqueen\ntuser.dat
0xfffff8a001598010 0x0000000017aa4010 \??\C:\Users\CHIqueen\AppData\Local\Microsoft\Windows\UsrClass.dat
0xfffff8a001d3c010 0x000000000b923010 \??\C:\System Volume Information\Syscache.hve
0xfffff8a003459410 0x0000000028c59410 \Device\HarddiskVolume1\Boot\BCD
 

여기서 사용자 CHIqueen의 ntuser.dat의 가상 메모리 주소 0xfffff8a001531010 을 가지고 printkey를 이용해 레지스트리 키값을 출력해 보면 아래와 같은 결과가 나옵니다.

 

$ vol.py -f Windows\ 7\ x64-6918a90d.vmem --profile=Win7SP1x64 printkey -o 0xfffff8a001531010 -K "Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU"
Volatility Foundation Volatility Framework 2.6
Legend: (S) = Stable   (V) = Volatile

----------------------------
Registry: \??\C:\Users\CHIqueen\ntuser.dat
Key name: RunMRU (S)Last updated: 2018-12-18 02:44:39 UTC+0000

Subkeys:

Values:
REG_SZ        a               : (S) notepad\1
REG_SZ        MRUList         : (S) ba
REG_SZ        b               : (S) powershell\1

 

'포렌식 > Analysis' 카테고리의 다른 글

FileZilla 아티팩트  (0) 2018.09.11
PowerShell HIstory 파워쉘 명령어 기록  (0) 2018.09.08
Discord 아티팩트  (0) 2018.08.21
크롬, 웨일 로그인 데이터  (0) 2018.05.11
브라우저 아티팩트 - 네이버 웨일  (0) 2018.05.08
Comments