- 혹시나 디지털 포렌식 전문가 2급 시험을 준비하는 사람들은 아래 게시물도 추가로 참조하길 바란다
https://isc9511.tistory.com/182
* 네트워크 정보 확인
- 네트워크 통신을 한 이력과, 그에 사용된 장비의 세부 정보 등을 확인하는 과정이며 확인할 요소들이 생각보다 많고 경로도 제각각이다 보니 자주 확인해서 연습하고 암기하는 것이 빠르게 확인할 수 있는 방법이다.
* 레지스트리 기반 확인
- 레지스트리 각각에 네트워크 정보가 퍼져있어서 확인이 필요한데, 이를 위해서 Hive 파일을 추출한 후, REGA Tool을 이용해서 확인하면 훨씬 용이하다
- REGA는 윈도우 레지스트리 수집 및 분석 도구로, 고려대 DFRC에서 배포한 인증된 툴이다
(아래는 REGA 툴 사용 시, 필요로 하는 Hive 파일들 추출 과정이다)
- 위 파일들을 한 폴더에 Extract 후, REGA에서 불러오면 해당 시스템의 레지스트리를 확인할 수 있다.
* 정보 확인
- 아래 네트워크 정보들은 REGA에서 Hive 파일 로딩이 되서 확인 할 수 있는 상태에서 진행한다
(혹시 확인 정보 중, 16진수로 표기된 부분은 Dcode라는 프로그램을 사용해서 변환 후, 확인을 진행하면 된다)
| 대상 | 경로 및 확인 정보 |
| 모델명 및 GUID | * 경로 - \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards\ * 확인 정보 - NIC의 GUID - NIC 제조사 및 모델명  |
| 네트워크 정보 (GUID 정보 필요) |
* 경로 - \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\ * 확인 정보 - 할당된 DHCP 주소 - Subnet Mask - Gateway 주소 - IP 할당 일시 - IP 할당 서버의 주소(ISP)  |
| MAC Address (GUID 정보 필요) |
* 경로 - \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\NetworkSetup2\Interfaces\{GUID}\Kernel\ * 확인 정보 - NIC 모델명 - MAC Address  |
| 유/무선 공유기 NIC 정보 | * 경로 - \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\ * 확인 정보 - SSID(WIFI 이름) - 관리 여부 - 최초 접속 일시 - 마지막 접속 일시  |
| 유/무선 공유기 MAC Address 정보 | * 경로 - \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\ * 확인 정보 - GUID - MAC Address  |
- 해당 주요 네트워크 정보들은 먼저 선행 확인해야 하는 정보도 존재하며, 경로도 상호 비슷한 부분이 존재하니 순차적으로 비교해서 외울 순서를 정하길 권장한다
- 이외 C:\Windows\System32\Winevt\Logs\ 경로에서 Windows Event로도 확인할 수 있으나, 경로 및 파일이 복잡하여 필자는 레지스트리를 더 선호하는 편이다.
'Information Security > Digital Forensic' 카테고리의 다른 글
| [Digital Forensic] Prefetch (0) | 2024.09.27 |
|---|---|
| [Digital Forensic] Jump List (0) | 2024.09.26 |
| [Digital Forensic] Print 정보 확인 (1) | 2024.09.24 |
| [Digital Forensic] Email 정보 확인 (0) | 2024.09.24 |
| [Digital Forensic] FTP 사용 흔적 (2) | 2024.09.24 |
