2012 F-INSIGHT TALK

1. FORENSIC INSIGHT SEMINAR
Windows 8 Forensics
dorumugs
http://malware.co.kr
And yet it does move

2. forensicinsight.org Page 2 / 83
개요
1. Windows 8 User Interface
2. Windows 8 Artifacts
3. Windows 8 Registry
4. Windows 8 ETC

3. forensicinsight.org Page 3 / 83
Windows 8
Users Interface

4. forensicinsight.org Page 4 / 83
Windows 8 User Interface
 로그인하는 방법은 3가지가 있다.
• 일반적인 ID / PW 입력 방식
• 그림을 그려서 로그인 하는 방식
• PIN 사인을 통해 로그인 하는 방식

5. forensicinsight.org Page 5 / 83
Windows 8 User Interface
 잠금 페이지 – 캘린더, 페이스북 등 알림을 보여준다.

6. forensicinsight.org Page 6 / 83
Windows 8 User Interface
 시작 메뉴
• Maps, Internet explorer 10, Weather, People Messaging 등이 설치되어 있다.
• 프로그램들은 Windows Store를 통해 설치되거나 삭제된다.

7. forensicinsight.org Page 7 / 83
Windows 8 User Interface
 시작 메뉴 – Charms
• Search, Share, Start, Devices, Settings로 바로 이동할 수 있게 도와준다.

8. forensicinsight.org Page 8 / 83
Windows 8 User Interface
 PC Settings
• Consumer Preview 버전에서는 일부 설정에만 접근할 수 있다.
• Refresh your PC without affecting your files
 사용자의 파일들과 개별적으로 설정된 내역은 변경되지 않는다
 PC의 설정은 초기 설정으로 돌아간다.
 Windows Store로 부터 설치된 App들은 유지된다.
 Windows Store가 아닌 다른 방법으로 설치된 내역은 삭제된다.
 삭제된 App 목록은 Desktop에 저장된다.
• Reset your PC and start over
 사용자의 파일들과 APP들 모두 삭제된다.
 사용자의 PC는 최초의 설정으로 돌아간다.

9. forensicinsight.org Page 9 / 83
Windows 8 User Interface
 PC Settings

10. forensicinsight.org Page 10 / 83
Windows 8 User Interface
 TaskManager

11. forensicinsight.org Page 11 / 83
Windows 8 User Interface
 Windows Store
• Windows Store를 통해서 애플리케이션을 설치 또는 삭제 할 수 있다.
• Windows Store를 통하지 않아도 애플리케이션을 설치 또는 삭제 할 수 있다.

12. forensicinsight.org Page 12 / 83
Windows 8 User Interface
 Messaging
• Windows Live 계정을 통해서 대화를 할 수 있다.
• Gtalk, Facebook 등을 연동하여 사용이 가능하다.

13. forensicinsight.org Page 13 / 83
Windows 8 User Interface
 Weather
• 날씨를 알려주는 애플리케이션이다.
• 장소를 GPS로 인식하여 동작한다.

14. forensicinsight.org Page 14 / 83
Windows 8 User Interface
 BSD(Blue Screen of Death)
• 이모티콘, 어려운 용어 제거 등을 사용하여 사용자 친화적으로 변경

15. forensicinsight.org Page 15 / 83
Windows 8 User Interface
 Windows Desktop
• 시작 버튼이 없다. (Developer Preview에는 시작 버튼이 존재한다.)
• 마우스를 왼쪽 하단으로 움직이면, Metro Start를 만날 수 있다.

16. forensicinsight.org Page 16 / 83
Windows 8 User Interface
 Windows Desktop
• Metro Start에서 위쪽으로 마우스를 이동하며, 현재 동작 중인 App을 확인할 수 있다.

17. forensicinsight.org Page 17 / 83
Windows 8 User Interface
 Windows Explorer
• Explorer는 요즘 MS가 사용하는 Tab방식으로 변했다.
• 외형은 MS Office와 유사하다.

18. forensicinsight.org Page 18 / 83
Windows 8 Artifacts
- Local Folder
- Metro Apps
- IE10 Websites Visited
- Journal Notes
- Desktop Tools
- Metro App Web Cache
- Metro App Cookie
- Cache
- Cookies
- Microsoft Folder
- Digital Certificates
- What’s New
- User’s Contacts
- App Settings

19. forensicinsight.org Page 19 / 83
Windows 8 Artifacts
 “AppData/Local” 폴더는 시스템이나 애플리케이션이 사용한다.
 XP에서는 "Documents and Settings%UserName%Local SettingsApplication
Data“ 폴더에서 “AppData/Local”기능을 수행했다.
 “AppData/Local” 폴더는 Temporary Internet Files, Internet History 그리고
Windows 8이 남기는 다양한 파일들을 담고 있다.
Local Folder

20. forensicinsight.org Page 20 / 83
Windows 8 Artifacts
Local Folder
애플리케이션 경로 목적
Metro Apps
MicrosoftWindowsApplicationSho
rtcuts
Metro Interface에서 보여지는
App들을 확인
IE 10 Web Visited
%SystemRoot%Users%User%App
DataLocalMicrosoftWindowsWe
bCacheWebCacheV24.dat
IE 10을 사용하여 웹사이트에 방문
했던 내역 확인
IE 10 Web Session
MicrosoftInternetExplorerRecovery
ImmersiveActive
and
MicrosoftInternetExplorerRecovery
ImmersiveLastActive
IE 10을 사용하여 웹사이트에 방문
했던 내역 및 브라우져 복구 시 사
용되는 경로
Taskbar Apps MicrosoftWindowsCaches Desktop에 고정된 App들을 확인
Journal Notes
MicrosoftJournalCachemsnb.dat 사용자가 생성한 Journal Notes의
History와 경로 저장
User-Added IE 10 Favorites
MicrosoftWindowsRoamingTiles 사용자가 고정시킨 웹사이트 즐겨
찾기 내역
 “%SystemRoot%Users%user%AppDataLocal”

21. forensicinsight.org Page 21 / 83
Windows 8 Artifacts
Local Folder
애플리케이션 경로 목적
Temporary Internet Files
MicrosoftWindowsTemporary
Internet FilesLowContent.IE5
인터넷 임지 저장 파일들을 저장
Protected Mode
Temporary Internet Files
MicrosoftWindowsTemporary
Internet FilesVirtualized%Local
Disk%Users%user%Appdata
IE가 Protected Mode로 동작할 때,
인터넷 임시저장 파일들을 저장
Desktop
MicrosoftWindowWinX Device Manager, Command
Prompt, Run과 같은 링크 파일들
을 저장
Windows Sidebar Weather
App
MicrosoftWindowsWindows
SidebarCache168522d5-1082-4df2-
b2f6-9185c31f9472
XML파일로 위치 주소 등을 저장
Metro App Web Cache
Packages%MetroAppName%ACIN
etCache
Metro App들이 사용하는 Web
Cache를 저장
Metro App Cookies
Packages%MetroAppName%ACIn
etCookies
Text로 Metro App이 사용하는
Cookie 파일들을 저장
Metro App Web History
Packages%MetroAppName%ACIN
etHistory
Metro App이 사용하는 Web
History를 저장
Metro Settings
Packages%MetroAppName%ACL
ocalState
Metro App이 사용하는 설정들을
Plain Text로 저장

22. forensicinsight.org Page 22 / 83
Windows 8 Artifacts
 Metro Apps
• Metro Interface에서 확인할 수 있는 App들에 대한 링크 파일들을 확인할 수 있다.
Local Folder

23. forensicinsight.org Page 23 / 83
Windows 8 Artifacts
 IE 10 Websites Visited
• %SystemRoot%UsersKayserAppDataLocalMicrosoftWindowsWebCacheWebCac
heV24.dat
Local Folder

24. forensicinsight.org Page 24 / 83
Windows 8 Artifacts
 IE 10 Web Session
• Compound DAT 파일을 Unpack하면 TL(Travel Log)들을 확인 가능
Local Folder

25. forensicinsight.org Page 25 / 83
Windows 8 Artifacts
 Journal Notes
• DAT파일이 Journal Notes의 경로를 Plain Text로 저장
Local Folder

26. forensicinsight.org Page 26 / 83
Windows 8 Artifacts
 Journal Notes
Local Folder

27. forensicinsight.org Page 27 / 83
Windows 8 Artifacts
 IE 10 Pinned Favorites
• 파일명은 10개의 정수로 표현되며, 즐겨찾기 내역을 Plain Text로 보여준다.
Local Folder

28. forensicinsight.org Page 28 / 83
Windows 8 Artifacts
 Desktop Tools
• 과거의 Start Menu의 Accessories and System Tools와 비슷하다.
• Taskbar에서 우클릭하여 접근 가능
• 3가지 그룹으로 나뉘며, 그룹으로 나뉘어진 애플리케이션은 각각의 링크파일를 가진다.
 그룹 1 Desktop
 그룹 2 Run comand, Search, Windows Explorer, Control Panel, Task Manager
 그룹 3 Run as Administrator Command Prompt, Command Prompt, Computer Managemnet,
Disk Management, device Manager, System, Event Viewer, Power Options, Nerwork
Connections, Programs and Features
Local Folder

29. forensicinsight.org Page 29 / 83
Windows 8 Artifacts
 Desktop Tools
Local Folder

30. forensicinsight.org Page 30 / 83
Windows 8 Artifacts
 Metro App Web Cache
• App을 통해 Web으로 접근한 Cache 내역을 저장
Local Folder

31. forensicinsight.org Page 31 / 83
Windows 8 Artifacts
 Metro App Cookies
• App이 사용한 Cookie들을 저장하고 있으며, 현재 Cookie와 거의 다르지 않다.
Local Folder

32. forensicinsight.org Page 32 / 83
Windows 8 Artifacts
Communications App
애플리케이션 경로 목적
Communication App
Web Cache
%SystemRoot%Users%User%App
DataLocalPackagesMicrosoft.wind
owscommunicationsapps_8wekyb3d8b
bweACINetCache
Facebook 사용자 프로파일 사진
및 Facebook에서 확인한 사진 확
인 가능
 사용자 행위와 관련하여 포렌식적으로 유용한 정보를 제공한다.
 시스템에서 흔적을 제거하였을 때, 사용자 행위를 확인할 수 있다.
 Email, Chat, Facebook, 그 외 소셜 사이트 정보를 저장하고 있다.
 Web Cache
• Web Cache에서 Facebook에서 확인한 사진들을 확인할 수 있다.
 Web Cookies
• Cookie들 중 일부 파일은 Facebook offline에서 전달되지 않은 메시지 등을 저장한다.
애플리케이션 경로 목적
Communication App
Cookies
%SystemRoot%Users%User%App
DataLocalPackagesMicrosoft.wind
owscommunicationsapps_8wekyb3d8b
bweACINetCookies
Communication App에서 사용한
Cookie들이 저장되어 있다.

33. forensicinsight.org Page 33 / 83
Windows 8 Artifacts
Communications App
 Web Cache

34. forensicinsight.org Page 34 / 83
Windows 8 Artifacts
Communications App
 Digital Certificate
• Digital Certificate은 인터넷 서핑, Email 등 을 사용할 때, Client와 Server를 인증하기 위해 사
용된다.
• 개인키(Private Key) / 공개키(Public Key)를 사용하여 Encrypt / Decrypt 한다.
• Digital Certificate이 저장하고 있는 정보
 소유자의 공개키 / 소유자의 이름과 / 주소
 인증 만료 날짜 / 인증 시리얼 넘버 /인증을 발간한 조직
 인증을 발간한 조직의 디지털 시그너처
애플리케이션 경로 목적
Communication App
Digital Certificates
%SystemRoot%Users%User%App
DataLocalPackagesMicrosoft.wind
owscommunicationsapps_8wekyb3d8b
bweACMicrosoftCryptnetURLCach
eContent
Communication App이 사용하는
인증들을 담고 있다.

35. forensicinsight.org Page 35 / 83
Windows 8 Artifacts
Communications App
 Digital Certificate

36. forensicinsight.org Page 36 / 83
Windows 8 Artifacts
Communications App
 What’s New
• Email 주소, 물리 주소(실제 집), 핸드폰 번호 등을 담고 있다.
• Facebook, Email, Twitter 등과 같은 개인 정보를 담고 있는 데이터를 포함한다.
애플리케이션 경로 목적
User’s “What’s New”
Updates
%SystemRoot%Users%User%App
DataLocalPackagesMicrosoft.wind
owscommunicationsapps_8wekyb3d8b
bweACMicrosoftInternet
ExplorerDOMStore%History-
Folder%microsoft[#].xml
Email 주소, 물리 주소(실제 집), 핸
드폰 번호 등 개인 정보를 포함하
고 있는 데이터를 포함한다.

37. forensicinsight.org Page 37 / 83
Windows 8 Artifacts
Communications App
 What’s New

38. forensicinsight.org Page 38 / 83
Windows 8 Artifacts
Communications App
 What’s New

39. forensicinsight.org Page 39 / 83
Windows 8 Artifacts
Communications App
 Email
• Email 주소, 물리 주소(실제 집), 핸드폰 번호 등을 담고 있다.
• Email 마다 Stream을 저장하고 있다. Stream을 저장하는 파일 명은 아래와 같다.
 12000001~9/a-f_##################.eml.OECustomProperty
• Email 파일명은 “12000001~9/a-f_##################.eml“와 같다.
 예를 들어 Email이 1200012f_129755557158031487.eml이면, Stream은
1200012f_129755557158031487.eml.OECustomProperty이다.
애플리케이션 경로 목적
User’s “What’s New”
Updates
%SystemRoot%Users%User%App
DataLocalPackagesMicrosoft.wind
owscommunicationsapps_8wekyb3d8b
bweLocalStateIndexedLiveComm
dorumugs@live.co.kr16.2Mail
Email 주소, 물리 주소(실제 집), 핸
드폰 번호 등 개인 정보를 포함하
고 있는 데이터를 포함한다.

40. forensicinsight.org Page 40 / 83
Windows 8 Artifacts
Communications App
 Email - Stream

41. forensicinsight.org Page 41 / 83
Windows 8 Artifacts
Communications App
 Email

42. forensicinsight.org Page 42 / 83
Windows 8 Artifacts
Communications App
 User’s Contact
• Communication App을 사용하여 소셜 미디어에 접근할 경우, 사용자 및 친구들에 대한 사진을
획득할 수 있다.
애플리케이션 경로 목적
User’s Contacts from
Communications App
%SystemRoot%Users%User%App
DataLocalPackagesMicrosoft.wind
owscommunicationsapps_8wekyb3d8b
bweLocalStateLiveComm%User's
WindowsLiveEmail
Address%%AppCurretVersion%DBS
toreLogFilesedb####.log
사용자 및 친구들의 사진이 저장
된 경로를 알려준다.
User Tile Associated With
Contact
%SystemRoot%Users%User%App
DataLocalPackagesMicrosoft.wind
owscommunicationsapps_8wekyb3d8b
bweLocalStateLiveComm%User's
WindowsLiveEmail
Address%%AppCurretVersion%DBS
toreUserTiles
사용자 및 친구들의 사진이 저장
되어 있다.

43. forensicinsight.org Page 43 / 83
Windows 8 Artifacts
Communications App
 User’s Contact

44. forensicinsight.org Page 44 / 83
Windows 8 Artifacts
Communications App
 User’s Contact

45. forensicinsight.org Page 45 / 83
Windows 8 Artifacts
Communications App
 App Setting
• Communications App에 대한 설정 정보를 Compound 파일인 setting.dat에 저장하고 있다.
• Setting.dat는 Windows Live 계정, 캘린더, 채팅, Email, People 등의 정보를 담고 있다.
애플리케이션 경로 목적
Communications App
Settings
%SystemRoot%Users%User%App
DataLocalPackagesmicrosoft.wind
owscommunicationsapps_8wekyb3d8b
bweSettingssetting.dat
Communication App이 설정 내용
을 담고 있다.

46. forensicinsight.org Page 46 / 83
Windows 8 Artifacts
Communications App
 App Setting

47. forensicinsight.org Page 47 / 83
Windows 8 Registry
- NTUSER.DAT
- SAM
- SYSTEM
- USB STORAGE DEVICES
- SOFTWARE

48. forensicinsight.org Page 48 / 83
Windows 8 Registry
 특정 사용자에 대한 정보를 기록한다.
 시스템에 여러 사용자가 존재할 경우, NTUSER.DAT도 여러 개 존재하게 된다.
 사용자가 열였던 파일, 사용한 애플리케이션, 방문했던 웹사이트 등을 기록한다.
 “%SystemRoot%Users%User%NTUSER.DAT” 경로에 존재
NTUSER.DAT
정보 경로
Recent Docs WindowsCurrentVersonExplorerRecent Docs
Recently Opened/Saved
Files
WindowsCurrentVersonExplorerComDlg32OpenSavePidlMRU
Recently Opened/Saved
Folders
WindowsCurrentVersonExplorerComDlg32LastVisitedPidlMRU
Last Visited Folder WindowsCurrentVersonExplorerComDlg32LastVisitedPidlMRULegacy
Recently Used Apps
(Nun-Metro Apps)
WindowsCurrentVersonExplorerComDlg32CIDSizeMRU

49. forensicinsight.org Page 49 / 83
Windows 8 Registry
NTUSER.DAT
정보 경로
Recently Used Apps
with Saved Files
WindowsCurrentVersonExplorerComDlg32FirstFolder
Recently Run Items WindowsCurrentVersonExplorerPoliciesRunMRU
Computer Name &
Volume S/N
WindowsMediaWMSDKGeneral
File Extension
Associations
WindowsCurrentVersionExplorerFileExts
Typed URLs Internet ExplorerTypedURLs
Typed URL Time Internet ExplorerTypedURLsTime

50. forensicinsight.org Page 50 / 83
Windows 8 Registry
 Typed URL Time
• SoftwareMicrosoftInternet ExplorerTypedURLsTime
 1601년 1월 1일 GMT 00:00:00 이후의 시간을 100나노세컨트드로 계산하여 바이너리 저장
(Windows FILETIME)
• SoftwareMicrosoftInternet ExplorerTypedURLs
 URL들을 확인할 수 있으며, 시간 정보는 TypedURLsTime에서 확인 가능
NTUSER.DAT

51. forensicinsight.org Page 51 / 83
Windows 8 Registry
 Typed URL Time
• SoftwareMicrosoftInternet ExplorerTypedURLs
NTUSER.DAT

52. forensicinsight.org Page 52 / 83
Windows 8 Registry
 Typed URL Time
• SoftwareMicrosoftInternet ExplorerTypedURLsTime
NTUSER.DAT

53. forensicinsight.org Page 53 / 83
Windows 8 Registry
 사용자 계정에 대한 정보를 담고 있다. (어느 도메인 / 어떤 경로)
 SAM에 저장된 사용자 이름은 로그인할 때 사용되거나 RID(Rdlative Identifier)로 사
용된다.
 “%SystemRoot%WindowsSystem32ConfigSAM 경로에 존재한다.
SAM
정보 경로
Last Logon DomainsAccountUsers%UserNumber%F
Last Password Change DomainsAccountUsers%UserNumber%F
Account Expireation DomainsAccountUsers%UserNumber%F
Last Failed Logon DomainsAccountUsers%UserNumber%F
User’s RID DomainsAccountUsers%UserNumber%F
Internet User Name DomainsAccountUsers%UserNumber%InternetUserName
User’s First Name DomainsAccountUsers%UserNumber%GivenName
User’s Last Name DomainsAccountUsers%UserNumber%Surname
User’s Tile DomainsAccountUsers%UserNumber%UserTile

54. forensicinsight.org Page 54 / 83
Windows 8 Registry
 User name
• Last Name : DomainsAccountUsers%UserNumber%GivenName
• First Name : DomainsAccountUsers%UserNumber%Surname
SAM

55. forensicinsight.org Page 55 / 83
Windows 8 Registry
 F
• Last Logon
 0x8-15의 8byte값 / SAMDomainsAccountUsers%UserNumber%F
• Last Password Change
 0x24-31의 8byte값 / SAMDomainsAccountUsers%UserNumber%F
• Account Expiration
 0x32-39의 8byte값 / SAMDomainsAccountUsers%UserNumber%F
 설정이 되어있지 않으면, 시간정보가 확인이 안되며, FF FF FF FF 로 표현된다.
• Last Failed Logon
 0x40-47의 8byte값 / SAMDomainsAccountUsers%UserNumber%F
• User's RID(Relative Identifier)
 0x48-49의 2byte값 / SAMDomainsAccountUsers%UserNumber%F
SAM

56. forensicinsight.org Page 56 / 83
Windows 8 Registry
SAM
 F

57. forensicinsight.org Page 57 / 83
Windows 8 Registry
SAM
 Uesr’s Tile

58. forensicinsight.org Page 58 / 83
Windows 8 Registry
 Device에 할당된 Drive Letter, 컴퓨터 이름, 타임존, 시스템에서 사용한 USB 등 과 같
은 정보를 담고 있으며, Control Set은 시스템 부팅과 관련된 설정을 담고 있다.
 %SystemRoot%WindowsSystem32configSystem
SYSTEM
정보 경로
Current Control Set SelectCurrent
Last Known Good Control set SelectLastKnownGood
Mounted Devices MountedDevices
Files Excluded from Restore %CurrentControlSet%ControlBackupRestore
Computer name %CurrentControlSet%ControlComputerName
TimeZone %CurrentControlSet%ControlTimeZoneInformationTi
meZoneKeyName
Last Graceful Shutdown time %CurrentControlSet%ControlWindowsShutdownTime
Printers %CurrentControlSet%EnumSWMPRINTENUM
Sensors & Location Devices %CurrentControlSet%EnumSWMSensorsAndLocation
EnumHardWareID
USB Storage Devices %CurrentControlSet%EnumUSBSTOR

59. forensicinsight.org Page 59 / 83
Windows 8 Registry
 Current Control Set / Current : 01은 현재 ControlSet001이라고는 것을 알려준다.
SYSTEM

60. forensicinsight.org Page 60 / 83
Windows 8 Registry
 LastKnownGood : 마지막에 성공적으로 부팅한 Control Set 번호
SYSTEM

61. forensicinsight.org Page 61 / 83
Windows 8 Registry
 Mounted Devices : Device Letter를 저장 / Letter당 하나의 장비만 저장
SYSTEM

62. forensicinsight.org Page 62 / 83
Windows 8 Registry
 Mounted Devices : Device Letter를 저장
SYSTEM

63. forensicinsight.org Page 63 / 83
Windows 8 Registry
 Last GraceFul Shudown Time : 마지막 정상 종료 시간(Windows FILETIME)
SYSTEM

64. forensicinsight.org Page 64 / 83
Windows 8 Registry
 Sensor and Location Devices
• Windows 7부터 사용, Internet을 통하여 받아 올 수 있는 기능(예 : GPS)을 사용하게 설정
SYSTEM

65. forensicinsight.org Page 65 / 83
Windows 8 Registry
 USBSTOR는 USB의 이름, Vendor ID, Product ID, Revision Number, Serial Number를
확인 가능
• SYSTEMCurrentControlSetEnumUSBSTOR
 FriendlyName은 USB이름을 확인 가능
• SYSTEM%CurrentControlSet%EnumUSBSTORDisk&Ven_General&Prod_USB_Flash_Disk
&Rev_1100%Unique Instance ID%&0FriendlyName
 USB의 이름에서 Unique Instance ID와 Container ID를 확인 가능
• SYSTEMCurrentControlSetEnumUSBSTOR%USB Name%%Unique Instance
ID%ContainID
USB STORAGE DEVICES

66. forensicinsight.org Page 66 / 83
Windows 8 Registry
 DeviceContainers에서 Container ID에 따른 GUID, VID, PID 확인 가능
• SystemCurrentControlSetControlDeviceContainers%ContainerID%BaseContainers
• SystemCurrentControlSetControlDeviceContainers%ContainerID%Properties
 USB의 VID와 PID를 통해, USB가 Plugin된 시간 확인 가능
• SYSTEM%CurrentControlSet%EnumUSB%VID/PID%Unique Instance
ID%Properties{83da6326-97a6-4088-9453-a1923f573b29}00640000
 LocationInformation을 통해서 USB Hub와 Port를 확인 가능
• SYSTEM%CurrentControlSet%EnumUSB%VID/PID%Unique Instance
ID%LocationInformation
USB STORAGE DEVICES

67. forensicinsight.org Page 67 / 83
Windows 8 Registry
 USBSTOR
USB STORAGE DEVICES

68. forensicinsight.org Page 68 / 83
Windows 8 Registry
 FriendlyName
USB STORAGE DEVICES

69. forensicinsight.org Page 69 / 83
Windows 8 Registry
 Unique Instance ID / Container ID
USB STORAGE DEVICES

70. forensicinsight.org Page 70 / 83
Windows 8 Registry
 GUID / VID / PID
USB STORAGE DEVICES

71. forensicinsight.org Page 71 / 83
Windows 8 Registry
 USB Plugin Time(Windows FILETIME)
USB STORAGE DEVICES

72. forensicinsight.org Page 72 / 83
Windows 8 Registry
 Hub / Port
USB STORAGE DEVICES

73. forensicinsight.org Page 73 / 83
Windows 8 Registry
 OS에 대한 정보. Version, Installed Time, Registerd Owner, Last User to Logon,
Members of a Group 등을 기록하고 있다.
 %SystemRoot%WindowsSystem32configSOFTWARE
SOFTWARE
정보 경로
Current OS Build MicrosoftWindows NTCurrentVersionCurrentBuild
Current OS Version MicrosoftWindows NTCurrentVersionCurrentVersion
OS Edition MicrosoftWindows NTCurrentVersionEditionID
OS Install Date MicrosoftWindows NTCurrentVersionInstallDate
OS Install Location MicrosoftWindows NTCurrentVersionPathName
OS Product Name MicrosoftWindows NTCurrentVersionProductName
Register Organization MicrosoftWindows NTCurrentVersionRegistered
Registered Owner MicrosoftWindows NTCurrentVersionRegisteredOwner
Metro Apps Installed
on System
MicrosoftWindowsCurrentVersionAppxAppxAllUserStoreAppli
cations

74. forensicinsight.org Page 74 / 83
Windows 8 Registry
SOFTWARE
정보 경로
User Account
Installed Metro Apps
MicrosoftWindowsCurrentVersionAppxAppxAllUserStore%SID
%
Last Logged On User MicrosoftWindowsCurrentVersionAuthenticationLogonUILastL
oggedOnUser
Last Logged SAM
USER
MicrosoftWindowsCurrentVersionAuthenticationLogonUILastL
oggedOnSAMUser
Last Logged On SID
User
MicrosoftWindowsCurrentVersionAuthenticationLogonUILastL
oggedOnSIDUser
Group Members MicrosoftWindowsCurrentVersionHomeGroupHME
File/Folder Sharing
(by SID)
MicrosoftWindowsCurrentVersionHomeGroupHMESharingPre
ferences%SID%
Applications That
Run At Starup
MicrosoftWindowsCurrentVersionRun

75. forensicinsight.org Page 75 / 83
Windows 8 ETC
- EVENT LOG
- Prefetch
- $Recycle.Bin

76. forensicinsight.org Page 76 / 83
Windows 8 ETC
 Windows 7 / windos 2008과 같은 EVTX 내부구조를 사용한다.
 %SystemRoot%WindowsSystem32winevtLogsSystem.evtx
EVENT LOG

77. forensicinsight.org Page 77 / 83
Windows 8 ETC
EVENT LOG

78. forensicinsight.org Page 78 / 83
Windows 8 ETC
 기본 설정의 Windows 8은 Prefetch 파일을 가지고 있지 않다.
 설정 정보
• %SystemRoot%WindowsSystem32configSYSTEMControlSet001ControlSession
ManagerMemory ManagementPrefetchParametersEnablePrefetcher
 Windows 7과 같은 경로를 가지고 있지만, EnablePrefetcher 값은 존재하지 않는다.
 EnablePrefetcher값을 생성하여, 부팅하여도 Prefetch는 생성되지 않는다.
 Prefetch 경로
• %SystemRoot%WindowsPrefetch
Prefetch

79. forensicinsight.org Page 79 / 83
Windows 8 ETC
Prefetch

80. forensicinsight.org Page 80 / 83
Windows 8 ETC
 %SystemRoot%$Recycle.Bin%USER SID%
$Recycle.Bin

81. forensicinsight.org Page 81 / 83
결론
 Windows 8은 Windows Live ID를 사용하여 접근하는 정보가 다양하다.
• Windows Logon, Email, Messagine, ETC
 Communication App으로 인한, 개인정보 보호 미약
• 사용자의 시스템이 침해 당할 경우, 사용자의 개정정보 뿐만 아니라 Calendar, Email Address,
Email Contents 등에 등록되어 있는 사람들에 대한 정보도 같이 유출될 수 있다.
 인터넷 히스토리 내역을 저장하고 있는 파일이 변경되었다.
• 기존의 Index,dat가 WebCacheV24.dat로 변경되었다.
 Prefech 생성
• Prefetch 생성 파라미터를 변경하여도, Prefech는 생성되지 않는다.

82. forensicinsight.org Page 82 / 83
참고
 다운로드
• http://windows.microsoft.com/en-US/windows-
8/download?ocid=W_MSC_W8P_DevCenter_MetroApps_EN-US
 참고
• http://grandstreamdreams.blogspot.com/2012/04/windows-8-linkage-passage-public-
metro.html
• http://propellerheadforensics.files.wordpress.com/2012/04/thomson_windows-8-forensic-
guide.pdf

83. forensicinsight.org Page 83 / 83
질문 & 답변