윈도우 삭제된 레지스트리 확인 – regslack

윈도우 삭제된 레지스트리 확인 – regslack

파일 분석시 실제 내용을 지우지 않고 덮어쓰듯이 레지스트리 역시 삭제 플래그만 표시하고, 새로운 데이터가 덮어써 지기 전까지 사용되지 않는 공간에 남아있게 된다. 이를 틈새 공간(Slack space)라고 하며, 이 영역을 조사하여, 삭제한 정보를 확인할 수 있다.

해당 툴은 http://regripper.net 에서 다운로드 가능하였으나 현재 더 이상 운영되고 있지 않은 관계로, https://asecurity.so 에서 Tool 카테고리를 확인해 보기 바란다.

그럼 테스트를 위해 계정을 생성하고 해당 계정을 삭제해 보자.

필자는 테스트 1이라는 계정을 생성하고 바로 삭제 하였다. 삭제가 완료되면 윈도우에서 제공하눈 NTBackup 툴을 이용하여 시스템 상태 정보를 백업하자.(Hobocopy를 이용해도 된다.)

[그림] 레지스트리 하이브 정보를 백업 할 수 있다

백업이 완료되면 백업한 파일을 복원 기능을 이용하여 다른 디렉토리 풀기를 선택하고 적당한 디렉토리에 압축을 해제하고(복원할 위치를 대체 위치로 지정하도록 하자. 필자는 C:\case에 압축해제 하였다.), SAM 파일을 Regslack를 이용하여 확인해 보도록 하자.

regslack c:\case\sam > sam.txt

[내용] 삭제한 레지스트리를 복원해 보자

위 sam.txt를 열어보면 아래 내용과 같이 우리가 삭제하였던 계정 정보를 확인 할 수 있다.

이와 같은 원리를 통해 프로그램 삭제, 삭제된 사용자 히스토리등을 확인할 수 있다.

“\SystemRoot\System32\Config\SAM”

[Fri Apr 20 07:22:43 2012]

### Deleted Key ###

SAM\SAM\Domains\Account\Users\Names\test1 ß 삭제했던 test1 계정을 확인할 수 있다.

Offset: 0x4688 [Sat Dec 31 06:02:37 2011] ß 계정 생성일자

Number of values: 1

Offset: 0x55b0 –>1005; Default;

### Deleted Key ###

//아래 레지스트리는 계정에 이용되는 계정 설정정보가 저장된 키로 1부의 SAM 레지스트리 분석내용을 통해 확인하기 바란다.

SAM\SAM\Domains\Account\Users\000003ED

Offset: 0x46e0 [Sat Dec 31 08:40:31 2011] ß 계정 생성일자와 다른이유는 계정설정정보가 변경된값이 있기 때문이다.

Number of values: 2

Offset: 0x3378 –>REG_BINARY; F;

02 00 01 00 00 00 00 00 79 20 54 b6 82 c7 cc 01 ……..y.T…..

00 00 00 00 00 00 00 00 b1 67 c5 08 95 c7 cc 01 ………g……

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 …………….

ed 03 00 00 01 02 00 00 10 00 00 00 00 00 00 00 …………….

00 00 02 00 00 00 00 00 00 00 ff ff bb 01 94 7c ……………|

Offset: 0x47f0 –>REG_BINARY; V;

00 00 00 00 d4 00 00 00 02 00 01 00 d4 00 00 00 …………….

0a 00 00 00 00 00 00 00 e0 00 00 00 0a 00 00 00 …………….

00 00 00 00 ec 00 00 00 00 00 00 00 00 00 00 00 …………….

ec 00 00 00 00 00 00 00 00 00 00 00 ec 00 00 00 …………….

00 00 00 00 00 00 00 00 ec 00 00 00 00 00 00 00 …………….

00 00 00 00 ec 00 00 00 00 00 00 00 00 00 00 00 …………….

ec 00 00 00 00 00 00 00 00 00 00 00 ec 00 00 00 …………….

00 00 00 00 00 00 00 00 ec 00 00 00 00 00 00 00 …………….

00 00 00 00 ec 00 00 00 15 00 00 00 a8 00 00 00 …………….

04 01 00 00 08 00 00 00 01 00 00 00 0c 01 00 00 …………….

14 00 00 00 00 00 00 00 20 01 00 00 14 00 00 00 …………….

00 00 00 00 34 01 00 00 04 00 00 00 00 00 00 00 ….4………..

38 01 00 00 04 00 00 00 00 00 00 00 01 00 14 80 8……………

…중략

[내용] 빈공간에 저장되어 있던 삭제된 레지스트리

Facebook Comments

Leave A Reply

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다

This site uses Akismet to reduce spam. Learn how your comment data is processed.