Windows System Basic Analyze

(1)

Windows System Basic Analyze

Document Version Ver. 1.0

2019. 07.

(2)

# 변경 일자 변경 사유 변경 내용 작성자 승인 비고

1 2019-07-12 최초 작성 최초 작성 조형범 승인

(3)

1. 개요 ... 1

2. 파일시스템 유형 ... 1

2.1. WMI Class ... 1

2.2. FSUtil ... 1

3. 파일시스템 메타데이터 ... 1

3.1. FSUtil ... 1

4. 시스템 시간 정보 ... 4

4.1. 현재 시간 ... 4

4.2. 표준 시간대(TimeSozne) ... 4

4.3. MTP 설정 및 활성화 여부 ... 4

4.4. dxdiag ... 6

5. OS 시간 변경 ... 6

5.1. Event Log ... 6

5.2. Prefetch ... 7

6. 부팅 시간 ... 8

6.1. 최근 부팅 ... 8

(4)

7.1. 기본 정보 ... 9

7.2. 핫픽스 및 보안 업데이트 ... 10

7.3. 설치 SW 목록 ... 11

7.4. 그룹 및 사용자 ... 12

8. 공유 정보 ... 17

8.1. 공유 현황 ... 17

8.2. 설정 공유 권한 ... 17

9. 세션 연결 정보 ... 19

9.1. Net Session ... 19

9.2. NBT(NetBIOS) Session ... 20

9.3. 로그인오프 내역 ... 20

10. 네트워크 정보 ... 21

10.1. 설정 상태 ... 21

10.2. NIC 동작모드 ... 24

10.3. 활성 연결 ... 24

10.4. 라우팅 정보 ... 27

10.5. DNS Query ... 28

10.6. arp ... 29

(5)

11.1. 등록 목록 ... 29

12. 프로세스 정보 ... 30

12.1. 시작프로그램 ... 30

12.2. 부팅 시 실행 ... 31

12.3. AppInit DLLs ... 31

12.4. Explorer AddOn ... 31

12.5. 실행 목록(활성 프로세스) ... 32

12.6. 로드 DLL ... 36

12.7. Handle ... 37

13. 서비스 정보 ... 38

13.1. 실행 목록 ... 38

13.2. 활성 드라이버 목록 ... 40

(6)

1. 개요

침해사고 분석 대응과 관련하여 윈도우 시스템의 기본 정보들을 확인한다.

2. 파일시스템 유형

2.1. WMI Class

C:\Dropbox\DFIR\Window\FileSystem\Scripts>wmic logicaldisk get Description, caption, deviceID, filesystem /format:list

Caption=C:

Description=로컬 고정 디스크 DeviceID=C:

FileSystem=NTFS Caption=D:

Description=CD-ROM 디스크 DeviceID=D:

FileSystem=CDFS Caption=E:

Description=이동식 디스크 DeviceID=E:

FileSystem=FAT

2.2. FSUtil

C:\>fsutil fsinfo drives 드라이브: C:\ D:\ E:\

C:\>fsutil fsinfo statistics c: | findstr /i /c:"File System" /c:"

파일 시스템

"

파일 시스템 종류: NTFS

C:\>fsutil fsinfo statistics e: | findstr /i /c:"File System" /c:"파일 시스템"

파일 시스템 종류: FAT

3. 파일시스템 메타데이터

3.1. FSUtil

C:\Dropbox\DFIR\Window\SystemBasic\Scripts>fsutil fsinfo ntfsInfo c:

NTFS 볼륨 일련 번호: 0xc08a10b68a10aac4 NTFS 버전: 3.1

(7)

LFS 버전: 2.0

섹터 개수: 0x000000001da4390a 전체 클러스터 개수: 0x0000000003b48721 사용 가능한 클러스터: 0x0000000001d35ad1

예약된 개수: 0x0000000000001490

섹터당 바이트: 512

실제 섹터당 바이트: 512

클러스터당 바이트: 4096

FileRecord 세그먼트당 바이트: 1024

FileRecord 세그먼트당 클러스터: 0 Mft 유효한 데이터 길이: 0x0000000020880000

Mft 시작 Lcn: 0x00000000000c0000 Mft2 시작 Lcn: 0x0000000000000002

Mft 영역 시작: 0x0000000001f9eba0 Mft 영역 끝: 0x0000000001fa8120 최대 장치 자르기 범위 수: 512

최대 장치 자르기 바이트 수: 0xffffffff 최대 볼륨 자르기 범위 수: 62

최대 볼륨 자르기 바이트 수: 0x40000000

리소스 관리자 식별자: 19B8279E-63E5-11E8-8B10-B24E97872307 C:\Dropbox\DFIR\Window\SystemBasic\Scripts>fsutil fsinfo statistics c: 파일 시스템 종류: NTFS UserFileReads : 753012

UserFileReadBytes : 23688466432

UserDiskReads : 742185

UserFileWrites : 214769

UserFileWriteBytes : 7856731136 UserDiskWrites : 225321

MetaDataReads : 84278

MetaDataReadBytes : 826814464

MetaDataDiskReads : 182749

MetaDataWrites : 78969

MetaDataWriteBytes : 407113728 MetaDataDiskWrites : 106622 MftReads : 78283

MftReadBytes : 791756800

MftWrites : 49758

MftWriteBytes : 247988224

Mft2Writes : 0

Mft2WriteBytes : 0

(8)

RootIndexReads : 0

RootIndexReadBytes : 0

RootIndexWrites : 0

RootIndexWriteBytes : 0

BitmapReads : 608

BitmapReadBytes : 10846208

BitmapWrites : 23092

BitmapWriteBytes : 117104640

MftBitmapReads : 4

MftBitmapReadBytes : 139264

MftBitmapWrites : 2377

MftBitmapWriteBytes : 12423168

UserIndexReads : 103088

UserIndexReadBytes : 470163456

UserIndexWrites : 27402

UserIndexWriteBytes : 142872576

LogFileReads : 8

LogFileReadBytes : 32768

LogFileWrites : 68673

LogFileWriteBytes : 1053581312

LogFileFull : 3

DiskResourceFailure : 0

VolumeTrimCount : 3564

AvgVolumeTrimTime (ms) : 1

AvgVolumeTrimSize (KB) : 6339

AvgVolumeTrimSpeed (KB/s) : 4449250

VolumeTrimSkippedCount : 0

VolumeTrimSkippedSize (KB) : 0

FileLevelTrimCount : 6

AvgFileLevelTrimTime (ms) : 250

AvgFileLevelTrimSize (KB) : 4924620

AvgFileLevelTrimSpeed (KB/s) : 19695426 NtfsFillStatInfoFromMftRecordCalledCount : 0

NtfsFillStatInfoFromMftRecordBailedBecauseOfAttributeListCount : 0 NtfsFillStatInfoFromMftRecordBailedBecauseOfNonResReparsePointCount : 0 C:\Dropbox\DFIR\Window\SystemBasic\Scripts>fsutil fsinfo volumeInfo c:

볼륨 이름:

볼륨 일련 번호: 0x8a10aac4 최대 구성 요소 길이: 255 파일 시스템 이름: NTFS 읽기/쓰기

씬 프로비저닝되지 않음

파일 이름에서 대/소문자 구분 지원 파일 이름의 대/소문자 유지

유니코드 파일 이름 지원 ACL 유지 및 실행

파일 단위 압축 지원

(9)

디스크 할당량 지원 스파스 파일 지원 재분석 지점 지원

핸들 닫기 결과 정보를 반환합니다.

POSIX 스타일 연결 해제 및 이름 바꾸기 지원 개체 식별자 지원

암호화된 파일 시스템 지원 이름 있는 스트림 지원 트랜잭션 지원

하드 링크 지원 확장 특성 지원 파일 ID 로 열기 지원 USN 저널 지원

4. 시스템 시간 정보

4.1. 현재 시간 C:\>date /T 2019-07-19 C:\>time /T 오후 03:20

4.2. 표준 시간대(TimeSozne)

C:\Dropbox\DFIR\Window\SystemBasic\Scripts>w32tm /tz

시간대: Current:TIME_ZONE_ID_UNKNOWN Bias: -540min (UTC=LocalTime+Bias) [Standard Name:"대한민국 표준시" Bias:0min Date:(지정되지 않음)]

[Daylight Name:"대한민국 일광 절약 시간" Bias:-60min Date:(지정되지 않음)]

4.3. MTP 설정 및 활성화 여부

설정

:

C::\Dropbox\>w32tm /dumpreg /subkey:parameters

값 이름 값 종류 값 데이터 ---

NtpServer REG_SZ time.windows.com,0x9

ServiceDll REG_EXPAND_SZ %systemroot%\system32\w32time.dll ServiceDllUnloadOnStop REG_DWORD 1

ServiceMain REG_SZ SvchostEntry_W32Time Type REG_SZ NTP

(10)

활성화 여부

:

C:\Dropbox\DFIR\Window\SystemBasic\Scripts>sc query w32time SERVICE_NAME: w32time

종류 : 30 WIN32 상태 : 1 STOPPED WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) 검사점 : 0x0

WAIT_HINT : 0x0

C:\Dropbox\DFIR\Window\SystemBasic\Scripts>w32tm /query /status 다음 오류가 발생했습니다. 서비스가 시작되지 않았습니다. (0x80070426)

 NTP 서비스가 내려간 상태

C:\Dropbox\DFIR\Window\SystemBasic\Scripts>net start w32time C:\Dropbox\DFIR\Window\SystemBasic\Scripts>w32tm /query /status 윤초 조정: 3(동기화되지 않음)

계층: 0(지정되지 않음) 정밀도: -23(틱당 119.209ns) 루트 지연: 0.0000000s

루트 분산: 0.0000000s

참조 ID: 0x00000000(지정되지 않음) 마지막으로 동기화한 시간: 지정되지 않음 원본: Local CMOS Clock

폴링 간격: 10(1024s)

동기화 주기

:

C:\Dropbox\DFIR\Window\SystemBasic\Scripts>w32tm /query /configuration [구성]

EventLogFlags: 2 (로컬) AnnounceFlags: 10 (로컬)

TimeJumpAuditOffset: 28800 (로컬) MinPollInterval: 10 (로컬)

MaxPollInterval: 15 (로컬)

MaxNegPhaseCorrection: 54000 (로컬) MaxPosPhaseCorrection: 54000 (로컬) MaxAllowedPhaseOffset: 1 (로컬)

(11)

FrequencyCorrectRate: 4 (로컬) PollAdjustFactor: 5 (로컬)

LargePhaseOffset: 50000000 (로컬) SpikeWatchPeriod: 900 (로컬) LocalClockDispersion: 10 (로컬) HoldPeriod: 5 (로컬)

PhaseCorrectRate: 1 (로컬) UpdateInterval: 360000 (로컬)

[시간 공급자]

NtpClient (로컬)

DllName: C:\WINDOWS\system32\w32time.dll (로컬) Enabled: 1 (로컬)

InputProvider: 1 (로컬)

AllowNonstandardModeCombinations: 1 (로컬) ResolvePeerBackoffMinutes: 15 (로컬)

ResolvePeerBackoffMaxTimes: 7 (로컬) CompatibilityFlags: 2147483648 (로컬) EventLogFlags: 1 (로컬)

LargeSampleSkew: 3 (로컬)

SpecialPollInterval: 32768 (로컬) Type: NTP (로컬)

NtpServer: time.windows.com,0x9 (로컬)

NtpServer (로컬)

DllName: C:\WINDOWS\system32\w32time.dll (로컬) Enabled: 0 (로컬)

InputProvider: 0 (로컬)

4.4. dxdiag

C:\>dxdiag > c:\Dropbox\DFIR\Window\SystemBasic\Results\dxdiagResult.txt

5. OS 시간 변경

5.1. Event Log EventID :

(12)

security log : XP 이하 : 520, 577 / Vista 이후 : 4616 system log : XP 이하 : 없음 / Vista 이후 : 1, 34 Application log : XP 이하 : 없음 / Vista 이후 : 20000

LogParser :

C:\>LogParser.exe -h -i:evt "select * from security" -headerrow:on Fields:

EventLog (S) RecordNumber (I) TimeGenerated (T) TimeWritten (T) EventID (I) EventType (I)

EventTypeName (S) EventCategory (I) EventCategoryName (S) SourceName (S) Strings (S) ComputerName (S)

SID (S) Message (S) Data (S)

C:\>LogParser.exe -stats:off -i:evt "select TimeGenerated, Message from security where EventID=4616"

TimeGenerated Message

--- --- 2019-06-27 22:37:53 시스템 시간이 변경되었습니다. 주체: 보안 ID: S-1-5-19 계정 이름: LOCAL SERVICE 계정 도메인: NT AUTHORITY 로그온 ID: 0x3e5 프로세스 정보: 프로세스 ID: 0x1e4 이름:

C:\Windows\System32\svchost.exe

이전 시간: 2019-06-27T13:37:53.909210200Z 새 시간: 2019-06-27T13:37:53.910480700Z 이 이벤트는 시스템 시간이 변경되면 생성됩니다. 시스템 권한으로 실행되는 Windows 시간 서비스 가 정기적으로 시스템 시간을 변경하는 것은 정상입니다. 다른 시스템 시간 변경은 컴퓨터를 임의 로 변경하려는 시도를 나타낼 수 있습니다.

C:\>LogParser.exe -stats:off -i:evt "select TimeGenerated, Message, strings from system where EventID=6013"

TimeGenerated Message Strings

--- --- ---

2019-06-05 14:06:06 시스템 작동 시간은 15 초입니다. ||||15|60|-540 대한민국 표준시 2019-06-05 14:25:13 시스템 작동 시간은 5 초입니다. ||||5|60|-540 대한민국 표준시 2019-06-05 14:53:11 시스템 작동 시간은 6 초입니다. ||||6|60|-540 대한민국 표준시

wevtutil :

C:\>wevtutil qe /rd Security /q:"*[(EventID=520) or (EventID=4616)]" /uni:false /f:text or

C:\>wevtutil qe /rd System /q:"*[(EventID=6013)]" /uni:false /f:text

5.2. Prefetch

C:\Dropbox\DFIR\Window\SystemBasic\Results>dir %windir%\prefetch\rundll*.pf 2019-07-19 오후 01:17 4,467 RUNDLL32.EXE-65953559.pf

2019-07-19 오전 11:05 4,445 RUNDLL32.EXE-A3EE2396.pf

C:\Dropbox\DFIR\Window\SystemBasic\Tools>PECmd.exe -f

(13)

c:\Windows\prefetch\RUNDLL32.EXE-65953559.pf | findstr /i /c:"timedate.cpl"

 Rundll32-XXXXXXXXXX.pf 가 있고 해당 프리패치 내 참조 파일 목록에 timedate.cpl 이 있으면 OS 시간 변경을 유출할 수 있지만 제어판을 열어도 동일 흔적이 남기 때문에 다른 흔적도 같이 살펴보아서 정상 시간 변경 여부를 판단해야 한다.

6. 부팅 시간

6.1. 최근 부팅

C:\>Dropbox\DFIR\Window\SystemBasic\Tools\uptime.exe

\\QC-NB-02 has been up for: 1 day(s), 3 hour(s), 14 minute(s), 2 second(s)

6.2. 부팅 이력

System Event Log :

C:\>Dropbox\DFIR\Window\SystemBasic\Results\LogParser.exe -stats:off -i:evt "select timegenerated, message from system where eventid = '6005' or eventid = 6006"

TimeGenerated Message

--- ---

2019-06-05 14:03:36 이벤트 로그 서비스가 시작되었습니다.

2019-06-05 14:24:59 이벤트 로그 서비스가 멈추었습니다.

(14)

7. 시스템 정보

7.1. 기본 정보 C:\>systeminfo

호스트 이름: QC-NB-02

OS 이름: Microsoft Windows 10 Pro OS 버전: 10.0.17134 N/A 빌드 17134 OS 제조업체: Microsoft Corporation OS 구성: 독립 실행형 워크스테이션 OS 빌드 종류: Multiprocessor Free 등록된 소유자: chohb

등록된 조직: N/A

제품 ID: 00331-20092-86108-AA458 원래 설치 날짜: 2019-06-05, 오후 2:06:15 시스템 부트 시간: 2019-07-18, 오후 12:09:56 시스템 제조업체: SAMSUNG ELECTRONICS CO., LTD.

시스템 모델: 900X3J

시스템 종류: x64-based PC

프로세서: 프로세서 1 개 설치됨

[01]: Intel64 Family 6 Model 142 Stepping 9 GenuineIntel ~2511Mhz BIOS 버전: American Megatrends Inc. P02AGL.036.180328.KS, 2018-03-28 Windows 디렉터리: C:\WINDOWS

시스템 디렉터리: C:\WINDOWS\system32 부팅 장치: \Device\HarddiskVolume2 시스템 로캘: ko;한국어

입력 로캘: ko;한국어

표준 시간대: (UTC+09:00) 서울 총 실제 메모리: 8,106MB

사용 가능한 실제 메모리: 4,535MB 가상 메모리: 최대 크기: 9,386MB 가상 메모리: 사용 가능: 5,348MB 가상 메모리: 사용 중: 4,038MB

페이지 파일 위치: C:\pagefile.sys 도메인: WORKGROUP

로그온 서버: \\QC-NB-02

핫픽스: 핫픽스 13 개 설치됨

(15)

[01]: KB4100347 [02]: KB4343669 [03]: KB4346084 [04]: KB4456655 [05]: KB4465663 [06]: KB4477137 [07]: KB4485449 [08]: KB4493478 [09]: KB4497398 [10]: KB4497932 [11]: KB4503308 [12]: KB4509094 [13]: KB4507435 네트워크 카드: NIC 3 개 설치됨

[01]: Realtek PCIe GBE Family Controller 연결 이름: 이더넷

상태: 미디어 연결이 끊어짐

[02]: Intel(R) Dual Band Wireless-AC 8260 연결 이름: Wi-Fi

DHCP 사용: 아니요 IP 주소

[01]: 10.102.10.124

[02]: fe80::5139:f81b:2071:b1b2

[03]: Bluetooth Device (Personal Area Network) 연결 이름: Bluetooth 네트워크 연결

상태: 미디어 연결이 끊어짐 Hyper-V 요구 사항: VM 모니터 모드 확장: 예

펌웨어에 가상화 사용: 예 두 번째 수준 주소 변환: 예 데이터 실행 방지 사용 가능: 예

7.2. 핫픽스 및 보안 업데이트

Sysinternals - www.sysinternals.com System information for \\QC-NB-02:

Uptime: 1 day 3 hours 35 minutes 7 seconds

Kernel version: Windows 10 Enterprise, Multiprocessor Free Product type: Professional

Product version: 6.3 Service pack: 0 Kernel build number: 17134 Registered organization:

Registered owner: chohb

(16)

IE version: 9.0000 System root: C:\WINDOWS Processors: 4

Processor speed: 2.7 GHz

Processor type: Intel(R) Core(TM) i5-7200U CPU @ Physical memory: 2 MB

Video driver: Intel(R) HD Graphics 620

설치 핫픽스

:

C:\>Dropbox\DFIR\Window\SystemBasic\Tools\PsInfo.exe -h Installed HotFix

n/a Internet Explorer - 0

설치

SW :

C:\>Dropbox\DFIR\Window\SystemBasic\Tools\PsInfo.exe –s Python Launcher 3.7.6762.0

Realtek High Definition Audio Driver 6.0.1.7968 SDK ARM Additions 10.1.17763.132

SDK ARM Redistributables 10.1.17763.132

SQL Server 2019 CTP2.2? Microsoft System CLR Types 15.0.1200.24 Security Update for Microsoft Excel 2016 (KB4475513) 32-Bit Edition Security Update for Microsoft Excel 2016 (KB4475513) 32-Bit Edition Security Update for Microsoft Excel 2016 (KB4475513) 32-Bit Edition

^C

주의 : SW 에 한글 포함 시 깨져 보인다.

7.3. 설치 SW 목록

C:\>wmic product get name, version, installdate, installsource /format:list InstallDate=20190714

InstallSource=C:\설치파일\한컴오피스 2014-최신\install\

Name=한컴오피스 2014 Version=9.0.9.0

PS C:\> get-wmiobject win32_product | sort-object name | format-table name, version name version

---- ---

Adobe Acrobat Reader DC - Korean 19.012.20035 Adobe Refresh Manager 1.8.0

Apple 응용 프로그램 지원(32 비트) 7.5 Apple 응용 프로그램 지원(64 비트) 7.5

Application Verifier x64 External Package 10.1.17763.132 Bonjour 3.1.0.1

DiagnosticsHub_CollectionService 16.1.28901 Dropbox Update Helper 1.3.189.1 Evernote v. 6.19.2 6.19.2.8555 Google Update Helper 1.3.34.11

(17)

PS C:\> get-wmiobject win32_product | sort-object installdate | format-table name, version, installdate

name version installdate ---- --- --- Microsoft InfoPath MUI (Korean) 2016 16.0.4266.1001 20190605 Microsoft Access MUI (Korean) 2016 16.0.4266.1001 20190605 Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 9.0.30729.6161 20190605 Microsoft Office OSM UX MUI (Korean) 2016 16.0.4266.1001 20190605 Microsoft DCF MUI (Korean) 2016 16.0.4266.1001 20190605 Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 9.0.30729.6161 20190605 Microsoft Office OSM MUI (Korean) 2016 16.0.4266.1001 20190605 Microsoft Office Proofing (Korean) 2016 16.0.4266.1001 20190605 Google Update Helper 1.3.34.11 20190605 Microsoft Office Proofing Tools 2016 - English 16.0.4266.1001 20190607 Microsoft Publisher MUI (Korean) 2016 16.0.4266.1001 20190607 Microsoft Office Shared 64-bit MUI (Korean) 2016 16.0.4266.1001 20190607 Microsoft Groove MUI (Korean) 2016 16.0.4266.1001 20190607 Microsoft Office 언어 교정 도구 2016 - 한국어 16.0.4266.1001 20190607 Microsoft OneNote MUI (Korean) 2016 16.0.4266.1001 20190607 Adobe Refresh Manager 1.8.0 20190613 Adobe Acrobat Reader DC - Korean 19.012.20035 20190617 Apple 응용 프로그램 지원(32 비트) 7.5 20190618 Apple 응용 프로그램 지원(64 비트) 7.5 20190618

제어판에서 참조하는 목록

C:\>reg query HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall /S

| findstr /i "displayname displayversion"

DisplayName REG_SZ μTorrent

DisplayVersion REG_SZ 3.5.5.45271

DisplayName REG_SZ Python 3.7.4 (32-bit) DisplayVersion REG_SZ 3.7.4150.0

C:\>reg query HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall /S | findstr /i "displayname displayversion"

DisplayName REG_SZ Apple 응용 프로그램 지원(64 비트) DisplayVersion REG_SZ 10.1.17763.132

^C

7.4. 그룹 및 사용자

그룹

C:\>net localgroup

\\QC-NB-02 에 대한 별칭

---

*Access Control Assistance Operators

*Administrators

*Backup Operators

(18)

*Cryptographic Operators

*Device Owners

*Distributed COM Users

*Event Log Readers

*Guests

*Hyper-V Administrators

*IIS_IUSRS

*Network Configuration Operators

*Performance Log Users

*Performance Monitor Users

*Power Users

*Remote Desktop Users

*Remote Management Users

*Replicator

*System Managed Accounts Group

*Users

그룹 구성원

C:\>net localgroup administrators 별칭 administrators

설명 컴퓨터 도메인에 모든 액세스 권한을 가진 관리자입니다.

구성원

--- Administrator

chohb

C:\>net localgroup guests 별칭 guests

설명 기본적으로 Users 그룹의 구성원과 동일한 권한을 가진 게스트입니다(별도의 제한 사항이 적용된 게스트 제외).

구성원

--- Guest

명령을 잘 실행했습니다.

Script : AllLocalGroupUsers.bat

@echo off

if exist TmpLocalGroup.lst del TmpLocalGroup.lst

if exist C:\Dropbox\DFIR\Window\SystemBasic\Results\AllLocalGroupUser.lst del C:\Dropbox\DFIR\Window\SystemBasic\Results\AllLocalGroupUser.lst

net localgroup | findstr /i /c:"*" > TmpLocalGroup.lst

For /f "tokens=1,2* delims=*" %%a in ('type TmpLocalGroup.lst') do net localgroup %%a

>> C:\Dropbox\DFIR\Window\SystemBasic\Results\AllLocalGroupUser.lst if exist TmpLocalGroup.lst del TmpLocalGroup.lst

C:\>wmic path win32_group get * /format:list

(19)

Caption=QC-NB-02\Access Control Assistance Operators

Description=이 그룹의 구성원은 이 컴퓨터의 리소스에 대한 인증 속성 및 권한을 원격으로 쿼리할 수 있습니다.

Domain=QC-NB-02 InstallDate=

LocalAccount=TRUE

Name=Access Control Assistance Operators SID=S-1-5-32-579

SIDType=4 Status=OK

^C

C:\Dropbox\DFIR\Window\SystemBasic\Scripts>wmic path win32_groupuser get * /format:list

GroupComponent="\\QC-NB-02\root\cimv2:Win32_Group.Domain="QC-NB- 02",Name="Administrators""

PartComponent="\\QC-NB-02\root\cimv2:Win32_UserAccount.Domain="QC-NB- 02",Name="Administrator""

GroupComponent="\\QC-NB-02\root\cimv2:Win32_Group.Domain="QC-NB- 02",Name="Administrators""

PartComponent="\\QC-NB-02\root\cimv2:Win32_UserAccount.Domain="QC-NB- 02",Name="chohb""

GroupComponent="\\QC-NB-02\root\cimv2:Win32_Group.Domain="QC-NB-02",Name="Guests""

PartComponent="\\QC-NB-02\root\cimv2:Win32_UserAccount.Domain="QC-NB- 02",Name="Guest""

^C

사용자

(

계정

) C:\>net user

\\QC-NB-02 에 대한 사용자 계정

--- Administrator chohb DefaultAccount

Guest WDAGUtilityAccount C:\>net user administrator

사용자 이름 Administrator 전체 이름

설명 컴퓨터 도메인을 관리하도록 기본 제공된 계정 사용자 설명

국가/지역 코드 000 (시스템 기본값) 활성 계정 아니요

계정 만료 날짜 기한 없음

마지막으로 암호 설정한 날짜 2019-06-05 오후 3:16:16 암호 만료 날짜 기한 없음

(20)

암호를 바꿀 수 있는 날짜 2019-06-05 오후 3:16:16 암호 필요 예

사용자가 암호를 바꿀 수도 있음 예

허용된 워크스테이션 전체 로그온 스크립트

사용자 프로필 홈 디렉터리

최근 로그온 아님 허용된 로그온 시간 전체

로컬 그룹 구성원 *Administrators 글로벌 그룹 구성원 *없음

명령을 잘 실행했습니다.

C:\>wmic useraccount get * /format:list AccountType=512

Caption=QC-NB-02\Guest

Description=게스트가 컴퓨터 도메인을 액세스하도록 기본 제공된 계정 Disabled=TRUE

Domain=QC-NB-02 FullName=

InstallDate=

LocalAccount=TRUE Lockout=FALSE Name=Guest

PasswordChangeable=FALSE PasswordExpires=FALSE PasswordRequired=FALSE

SID=S-1-5-21-795312640-3018449293-233669703-501 SIDType=1

Status=Degraded AccountType=512

Caption=QC-NB-02\WDAGUtilityAccount

Description=Windows Defender Application Guard 시나리오용으로 시스템에서 관리 및 사용하는 사용자 계정입니다.

Disabled=TRUE Domain=QC-NB-02 FullName=

InstallDate=

LocalAccount=TRUE Lockout=FALSE

Name=WDAGUtilityAccount PasswordChangeable=TRUE

(21)

PasswordExpires=TRUE PasswordRequired=TRUE

SID=S-1-5-21-795312640-3018449293-233669703-504 SIDType=1

Status=Degraded

C:\>wmic useraccount list brief

AccountType Caption Domain FullName Name SID 512 QC-NB-02\Administrator QC-NB-02 Administrator S-1-5-

21-795312640-3018449293-233669703-500

512 QC-NB-02\chohb QC-NB-02 chohb S-1-5- 21-795312640-3018449293-233669703-1001

512 QC-NB-02\DefaultAccount QC-NB-02 DefaultAccount S-1-5- 21-795312640-3018449293-233669703-503

512 QC-NB-02\Guest QC-NB-02 Guest S-1-5- 21-795312640-3018449293-233669703-501

512 QC-NB-02\WDAGUtilityAccount QC-NB-02 WDAGUtilityAccount S-1- 5-21-795312640-3018449293-233669703-504

C:\>wmic path win32_userprofile get sid,refcount,status, LastUseTime, localpath /format:list

LastUseTime=20190719084032.091000+000 LocalPath=C:\Users\chohb

RefCount=

SID=S-1-5-21-795312640-3018449293-233669703-1001 Status=0

LastUseTime=20190719084032.091000+000

LocalPath=C:\WINDOWS\ServiceProfiles\NetworkService RefCount=

SID=S-1-5-20 Status=0

LastUseTime=20190719084032.091000+000

LocalPath=C:\WINDOWS\ServiceProfiles\LocalService RefCount=

LastUseTime=20190719084032.107000+000

LocalPath=C:\WINDOWS\system32\config\systemprofile RefCount=1

<주의> Win32_UserProfile 에서는 LastUseTime 과 RefCount 를 주의 깊게 봐야 한다.

LastUseTime 이 현재 시간과 차이가 많이 나는 과거 시간이라면 원격으로 접속하여 뭔가를 수행한 것으로 볼 수 있으며 평소 로그인 하지 않은 계정인데 RefCount 가 높다면 내부적으로 로그인(계정

(22)

할성화)이 이루어 진 경우로 볼 수 있다.

8. 공유 정보

8.1. 공유 현황 C:\>net share

공유 이름 리소스 설명

--- C$ C:\ 기본 공유

IPC$ 원격 IPC ADMIN$ C:\WINDOWS 원격 관리 Temp C:\Temp

C:\>wmic path win32_share get * /format:table

< Type >

Disk Drive (0) Print Queue (1) Device (2) IPC (3)

Disk Drive Admin (2147483648) Print Queue Admin (2147483649) Device Admin (2147483650) IPC Admin (2147483651)

8.2. 설정 공유 권한 공유폴더 권한 조회

C:\Dropbox\DFIR\Window\SystemBasic\Scripts>net share temp 공유 이름 Temp

경로 C:\Temp 설명

최대 사용자 수 제한 없음 사용자

(23)

캐싱 문서의 수동 캐시 사용 권한 Everyone, FULL

C:\Dropbox\DFIR\Window\SystemBasic\Scripts>net share admin$

공유 이름 ADMIN$

경로 C:\WINDOWS 설명 원격 관리 최대 사용자 수 제한 없음 사용자

캐싱 문서의 수동 캐시 사용 권한 Everyone, FULL C:\>icacls C:\WINDOWS

C:\WINDOWS NT SERVICE\TrustedInstaller:(F)

NT SERVICE\TrustedInstaller:(CI)(IO)(F) NT AUTHORITY\SYSTEM:(M)

NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F) BUILTIN\Administrators:(M)

BUILTIN\Administrators:(OI)(CI)(IO)(F) BUILTIN\Users:(RX)

BUILTIN\Users:(OI)(CI)(IO)(GR,GE) CREATOR OWNER:(OI)(CI)(IO)(F)

APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(RX)

APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(OI)(CI)(IO)(GR,GE) APPLICATION PACKAGE AUTHORITY\모든 제한된 응용 프로그램 패키지:(RX)

APPLICATION PACKAGE AUTHORITY\모든 제한된 응용 프로그램 패키 지:(OI)(CI)(IO)(GR,GE)

Sysinternals - www.sysinternals.com c:\Temp

RW BUILTIN\Administrators RW NT AUTHORITY\SYSTEM R BUILTIN\Users

RW NT AUTHORITY\Authenticated Users AllShareFolderACL.bat Scripts :

@echo off

if exist TmpShareFolderACL.lst del TmpShareFolderACL.lst if exist TmpShareFolderACL2.lst del TmpShareFolderACL2.lst if exist TmpShareFolderACL3.lst del TmpShareFolderACL3.lst

if exist C:\Dropbox\DFIR\Window\SystemBasic\Results\ALLShareFolderACL.lst del

(24)

C:\Dropbox\DFIR\Window\SystemBasic\Results\ALLShareFolderACL.lst

if exist C:\Dropbox\DFIR\Window\SystemBasic\Results\ALLShareFolderACL2.lst del C:\Dropbox\DFIR\Window\SystemBasic\Results\ALLShareFolderACL2.lst

if exist C:\Dropbox\DFIR\Window\SystemBasic\Results\ALLShareFolderACL3.lst del C:\Dropbox\DFIR\Window\SystemBasic\Results\ALLShareFolderACL3.lst

wmic path win32_share where (path != "") get path | findstr /i /V "path" >

TmpShareFolderACL.lst

For /f "tokens=1* delims=" %%a in ('type TmpShareFolderACL.lst') do call :Sub %%a wmic path win32_share where (name != "") get name | findstr /i /V "name" >

TmpShareFolderACL2.lst

For /f "tokens=1* delims=" %%a in ('type TmpShareFolderACL2.lst') do call :2Sub %%a wmic path win32_share where (path != "") get path | findstr /i /V "path" >

TmpShareFolderACL3.lst

For /f "tokens=1* delims=" %%a in ('type TmpShareFolderACL3.lst') do call :3Sub %%a goto :EOF

:Sub

rem if not "%1"=="" echo %1 rem if [%1] NEQ [] echo %1

if [%1] NEQ [] icacls %1 >>

C:\Dropbox\DFIR\Window\SystemBasic\Results\ALLShareFolderACL.lst echo.

:2Sub

if [%1] NEQ [] net share %1 >>

C:\Dropbox\DFIR\Window\SystemBasic\Results\ALLShareFolderACL2.lst echo.

:3Sub

if [%1] NEQ [] C:\Dropbox\DFIR\Window\SystemBasic\Tools\accesschk.exe -d %1 >>

C:\Dropbox\DFIR\Window\SystemBasic\Results\ALLShareFolderACL3.lst echo.

:EOF

if exist TmpShareFolderACL.lst del TmpShareFolderACL.lst if exist TmpShareFolderACL2.lst del TmpShareFolderACL2.lst if exist TmpShareFolderACL2.lst del TmpShareFolderACL3.lst

9. 세션 연결 정보

9.1. Net Session

C:\>net session /list

(25)

목록에 항목이 없습니다.

9.2. NBT(NetBIOS) Session C:\>nbtstat -c

이더넷:

노드 IpAddress: [0.0.0.0] 범위 ID: []

캐시에 이름 없음

Bluetooth 네트워크 연결:

Wi-Fi:

로컬 영역 연결* 1:

로컬 영역 연결* 11:

9.3. 로그인오프 내역 C:\>NTLast.exe -f

- No Records - Check to see if auditing is on

<참고> 시스템 감사 정책이 활성화되어 있어야 한다.

C:\>wmic path win32_Session get * /format:list AuthenticationPackage=NTLM

Caption=

Description=

InstallDate=

LogonId=999 LogonType=0 Name=

StartTime=20190718121013.223667+540 Status=

(26)

AuthenticationPackage=Negotiate Caption=

Description=

InstallDate=

LogonId=997 LogonType=5 Name=

StartTime=20190718121013.416112+540 Status=

10. 네트워크 정보

10.1. 설정 상태 C:\>ipconfig /all Windows IP 구성

호스트 이름 . . . : QC-NB-02 주 DNS 접미사 . . . :

노드 유형 . . . : 혼성 IP 라우팅 사용. . . : 아니요 WINS 프록시 사용. . . : 아니요

이더넷 어댑터 이더넷:

미디어 상태 . . . : 미디어 연결 끊김 연결별 DNS 접미사. . . . :

설명. . . : Realtek PCIe GBE Family Controller 물리적 주소 . . . : 98-83-89-4C-3F-99

DHCP 사용 . . . : 예 자동 구성 사용. . . : 예

무선 LAN 어댑터 로컬 영역 연결* 1:

설명. . . : Microsoft Wi-Fi Direct Virtual Adapter 물리적 주소 . . . : 3C-6A-A7-84-A5-3B

무선 LAN 어댑터 로컬 영역 연결* 11:

(27)

설명. . . : Microsoft Wi-Fi Direct Virtual Adapter #2 물리적 주소 . . . : 3E-6A-A7-84-A5-3A

무선 LAN 어댑터 Wi-Fi:

연결별 DNS 접미사. . . . :

설명. . . : Intel(R) Dual Band Wireless-AC 8260 물리적 주소 . . . : 3C-6A-A7-84-A5-3A

링크-로컬 IPv6 주소 . . . . : fe80::5139:f81b:2071:b1b2%12(기본 설정) IPv4 주소 . . . : 172.30.1.55(기본 설정)

서브넷 마스크 . . . : 255.255.255.0

임대 시작 날짜. . . : 2019 년 7 월 21 일 일요일 오전 10:07:28 임대 만료 날짜. . . : 2019 년 7 월 21 일 일요일 오후 12:07:28 기본 게이트웨이 . . . : 172.30.1.254

DHCP 서버 . . . : 172.30.1.254 DHCPv6 IAID . . . : 138177191

DHCPv6 클라이언트 DUID. . . : 00-01-00-01-24-89-08-FB-98-83-89-4C-3F-99 DNS 서버. . . : 168.126.63.1

Tcpip 를 통한 NetBIOS. . . . : 사용

이더넷 어댑터 Bluetooth 네트워크 연결:

설명. . . : Bluetooth Device (Personal Area Network) 물리적 주소 . . . : 3C-6A-A7-84-A5-3E

C:\>wmic path win32_networkadapterconfiguration get * /format:list ArpAlwaysSourceRoute=

ArpUseEtherSNAP=

Caption=[00000002] Intel(R) Dual Band Wireless-AC 8260 DatabasePath=%SystemRoot%\System32\drivers\etc

DeadGWDetectEnabled=

DefaultIPGateway={"172.30.1.254"}

DefaultTOS=

DefaultTTL=

(28)

Description=Intel(R) Dual Band Wireless-AC 8260 DHCPEnabled=TRUE

DHCPLeaseExpires=19321229104910.000000+540 DHCPLeaseObtained=19321229094910.000000+540 DHCPServer=172.30.1.254

DNSDomain=

DNSDomainSuffixSearchOrder={}

DNSEnabledForWINSResolution=FALSE DNSHostName=QC-NB-02

DNSServerSearchOrder={"168.126.63.1"}

DomainDNSRegistrationEnabled=FALSE ForwardBufferMemory=

FullDNSRegistrationEnabled=TRUE GatewayCostMetric={0}

IGMPLevel=

Index=2

InterfaceIndex=12

IPAddress={"172.30.1.55","fe80::5139:f81b:2071:b1b2"}

IPConnectionMetric=35 IPEnabled=TRUE

IPFilterSecurityEnabled=FALSE IPPortSecurityEnabled=

IPSecPermitIPProtocols={}

IPSecPermitTCPPorts={}

IPSecPermitUDPPorts={}

IPSubnet={"255.255.255.0","64"}

IPUseZeroBroadcast=

IPXAddress=

IPXEnabled=

IPXFrameType=

IPXMediaType=

IPXNetworkNumber=

IPXVirtualNetNumber=

KeepAliveInterval=

KeepAliveTime=

MACAddress=3C:6A:A7:84:A5:3A MTU=

NumForwardPackets=

PMTUBHDetectEnabled=

PMTUDiscoveryEnabled=

ServiceName=Netwtw06

SettingID={7A87C15F-33B6-42D4-B9E8-03A3564CC1D3}

TcpipNetbiosOptions=0

TcpMaxConnectRetransmissions=

TcpMaxDataRetransmissions=

TcpNumConnections=

TcpUseRFC1122UrgentPointer=

TcpWindowSize=

WINSEnableLMHostsLookup=TRUE WINSHostLookupFile=

WINSPrimaryServer=

WINSScopeID=

WINSSecondaryServer=

(29)

10.2. NIC 동작모드 C:\>promiscdetect.exe Adapter name:

- Realtek PCIe GBE Family Controller Active filter for the adapter:

- Directed (capture packets directed to this computer)

- Multicast (capture multicast packets for groups the computer is a member of) - Broadcast (capture broadcast packets)

Adapter name:

- Intel(R) Dual Band Wireless-AC 8260

Error: Cannot query the status for the adapter 10.3. 활성 연결

C:\>netstat –anb 활성 연결

프로토콜 로컬 주소 외부 주소 상태

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING RpcSs [svchost.exe]

TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 소유권 정보를 가져올 수 없습니다.

TCP 0.0.0.0:1537 0.0.0.0:0 LISTENING EventLog [svchost.exe]

TCP 0.0.0.0:1538 0.0.0.0:0 LISTENING Schedule [svchost.exe]

TCP 0.0.0.0:1539 0.0.0.0:0 LISTENING SessionEnv [svchost.exe]

TCP 0.0.0.0:1540 0.0.0.0:0 LISTENING [spoolsv.exe]

TCP 0.0.0.0:1550 0.0.0.0:0 LISTENING [lsass.exe]

TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING TermService [svchost.exe]

TCP 0.0.0.0:5040 0.0.0.0:0 LISTENING CDPSvc [svchost.exe]

TCP 0.0.0.0:7635 0.0.0.0:0 LISTENING [SystraceFileServer.exe]

TCP 0.0.0.0:7680 0.0.0.0:0 LISTENING DoSvc [svchost.exe]

TCP 0.0.0.0:8444 0.0.0.0:0 LISTENING [AYCAgentSrv.ayc]

TCP 0.0.0.0:14430 0.0.0.0:0 LISTENING

(30)

[시스템]

TCP 0.0.0.0:14440 0.0.0.0:0 LISTENING [시스템]

TCP 127.0.0.1:843 0.0.0.0:0 LISTENING [AYCAgentSrv.ayc]

TCP 127.0.0.1:5354 0.0.0.0:0 LISTENING [mDNSResponder.exe]

TCP 172.30.1.55:12443 40.90.189.152:443 ESTABLISHED WpnService [svchost.exe]

TCP 172.30.1.55:12530 211.231.105.244:443 ESTABLISHED [KakaoTalk.exe]

TCP 172.30.1.55:12610 40.100.51.18:443 ESTABLISHED [SearchUI.exe]

TCP 172.30.1.55:12871 35.186.213.138:443 CLOSE_WAIT [Evernote.exe]

TCP 172.30.1.55:13008 23.50.0.226:443 CLOSE_WAIT [Video.UI.exe]

TCP 172.30.1.55:13141 52.109.44.29:443 TIME_WAIT TCP 172.30.1.55:13148 104.74.176.116:80 ESTABLISHED WpnUserService_121291c1 [svchost.exe]

TCP 172.30.1.55:13152 10.96.51.250:443 SYN_SENT [GNPLUGIN.EXE]

TCP [::]:135 [::]:0 LISTENING RpcSs [svchost.exe]

TCP [::]:445 [::]:0 LISTENING 소유권 정보를 가져올 수 없습니다.

TCP [::]:1537 [::]:0 LISTENING EventLog [svchost.exe]

TCP [::]:1538 [::]:0 LISTENING Schedule [svchost.exe]

TCP [::]:1539 [::]:0 LISTENING SessionEnv [svchost.exe]

TCP [::]:1540 [::]:0 LISTENING [spoolsv.exe]

TCP [::]:1550 [::]:0 LISTENING [lsass.exe]

TCP [::]:3389 [::]:0 LISTENING TermService [svchost.exe]

TCP [::]:7635 [::]:0 LISTENING [SystraceFileServer.exe]

TCP [::]:7680 [::]:0 LISTENING DoSvc [svchost.exe]

TCP [::1]:1541 [::]:0 LISTENING [jhi_service.exe]

(31)

UDP 0.0.0.0:500 *:*

IKEEXT [svchost.exe]

UDP 0.0.0.0:3389 *:*

TermService [svchost.exe]

UDP 0.0.0.0:3871 *:*

[GnStart.exe]

UDP 0.0.0.0:4500 *:*

UDP 0.0.0.0:5050 *:*

CDPSvc [svchost.exe]

UDP 0.0.0.0:5353 *:*

Dnscache [svchost.exe]

UDP 0.0.0.0:5355 *:*

UDP 0.0.0.0:49664 *:*

[mDNSResponder.exe]

UDP 0.0.0.0:62647 *:*

[SkypeApp.exe]

UDP 127.0.0.1:1900 *:*

SSDPSRV [svchost.exe]

UDP 127.0.0.1:49666 *:*

iphlpsvc [svchost.exe]

UDP 127.0.0.1:62939 *:*

UDP 172.30.1.55:137 *:*

소유권 정보를 가져올 수 없습니다.

UDP 172.30.1.55:138 *:*

소유권 정보를 가져올 수 없습니다.

UDP 172.30.1.55:1900 *:*

UDP 172.30.1.55:5353 *:*

[mDNSResponder.exe]

UDP 172.30.1.55:62938 *:*

UDP [::]:500 *:*

UDP [::]:3389 *:*

TermService [svchost.exe]

UDP [::]:4500 *:*

UDP [::]:5353 *:*

UDP [::]:5355 *:*

UDP [::]:49665 *:*

[mDNSResponder.exe]

UDP [::]:62647 *:*

[SkypeApp.exe]

UDP [::1]:1900 *:*

UDP [::1]:5353 *:*

[mDNSResponder.exe]

(32)

UDP [::1]:62937 *:*

UDP [fe80::5139:f81b:2071:b1b2%12]:1900 *:*

UDP [fe80::5139:f81b:2071:b1b2%12]:62936 *:*

10.4. 라우팅 정보 C:\>netstat –r

===========================================================================

인터페이스 목록

3...98 83 89 4c 3f 99 ...Realtek PCIe GBE Family Controller 9...3c 6a a7 84 a5 3b ...Microsoft Wi-Fi Direct Virtual Adapter 18...3e 6a a7 84 a5 3a ...Microsoft Wi-Fi Direct Virtual Adapter #2 12...3c 6a a7 84 a5 3a ...Intel(R) Dual Band Wireless-AC 8260

17...3c 6a a7 84 a5 3e ...Bluetooth Device (Personal Area Network) 1...Software Loopback Interface 1

===========================================================================

IPv4 경로 테이블

===========================================================================

활성 경로:

네트워크 대상 네트워크 마스크 게이트웨이 인터페이스 메트릭 0.0.0.0 0.0.0.0 172.30.1.254 172.30.1.55 35 127.0.0.0 255.0.0.0 연결됨 127.0.0.1 331 127.0.0.1 255.255.255.255 연결됨 127.0.0.1 331 127.255.255.255 255.255.255.255 연결됨 127.0.0.1 331 172.30.1.0 255.255.255.0 연결됨 172.30.1.55 291 172.30.1.55 255.255.255.255 연결됨 172.30.1.55 291 172.30.1.255 255.255.255.255 연결됨 172.30.1.55 291 224.0.0.0 240.0.0.0 연결됨 127.0.0.1 331 224.0.0.0 240.0.0.0 연결됨 172.30.1.55 291 255.255.255.255 255.255.255.255 연결됨 127.0.0.1 331 255.255.255.255 255.255.255.255 연결됨 172.30.1.55 291

===========================================================================

영구 경로:

없음

IPv6 경로 테이블

===========================================================================

활성 경로:

IF 메트릭 네트워크 대상 게이트웨이

(33)

1 331 ::1/128 연결됨 12 291 fe80::/64 연결됨 12 291 fe80::5139:f81b:2071:b1b2/128 연결됨 1 331 ff00::/8 연결됨 12 291 ff00::/8 연결됨

===========================================================================

영구 경로:

없음

<참고>

네트워크 데이터 흐름을 분석하기 위해 해당 정보들을 수집해야 한다. 만약 게이트웨이 등이 내부 개인 PC 등으로 설정되어 있으면 중계 컴퓨터로 사용될 수 도 있다. "netstat -r" 명령어로 인터페 이스 / 라우팅 테이블 정보를 확인한다. 특히 네트워크 인터페이스 정보를 분석해야 하는 이유는 MAC 의 변조 유무를 파악하여 sniffer / spoofing 공격에 당하고 있는지를 파악할 수 있어야 한다.

10.5. DNS Query

C:\>ipconfig /displaydns docs.google.com

--- 데이터 이름 . . . : docs.google.com 데이터 유형 . . . : 1

TTL(Time To Live) . : 78 데이터 길이 . . . : 4 섹션 . . . : 응답

(호스트) 레코드 . . . : 172.217.24.142

데이터 이름 . . . : ns1.google.com 데이터 유형 . . . : 1

TTL(Time To Live) . : 78 데이터 길이 . . . : 4 섹션 . . . : 추가

(호스트) 레코드 . . . : 216.239.32.10

데이터 이름 . . . : ns2.google.com 데이터 유형 . . . : 1

TTL(Time To Live) . : 78 데이터 길이 . . . : 4 섹션 . . . : 추가

(34)

(호스트) 레코드 . . . : 216.239.34.10

10.6. arp C:\>arp -a

인터페이스: 172.30.1.55 --- 0xc

인터넷 주소 물리적 주소 유형 172.30.1.56 cc-6e-a4-15-3c-22 동적 172.30.1.254 08-5d-dd-7b-8a-81 동적 172.30.1.255 ff-ff-ff-ff-ff-ff 정적 224.0.0.22 01-00-5e-00-00-16 정적 224.0.0.251 01-00-5e-00-00-fb 정적 224.0.0.252 01-00-5e-00-00-fc 정적 239.255.255.250 01-00-5e-7f-ff-fa 정적 255.255.255.255 ff-ff-ff-ff-ff-ff 정적

11. 예약 작업

11.1. 등록 목록 C:\>schtasks

폴더: \Microsoft\Windows\Workplace Join

작업 이름 다음 실행 시간 상태

======================================== ====================== ===============

Automatic-Device-Join N/A 사용 안 함 Recovery-Check N/A 사용 안 함

폴더: \Microsoft\Windows\WwanSvc

======================================== ====================== ===============

NotificationTask N/A 준비

폴더: \Microsoft\XblGameSave

======================================== ====================== ===============

XblGameSaveTask N/A 준비

C:\Dropbox\DFIR\Window\SystemBasic\Tools>

C:\Dropbox\DFIR\Window\SystemBasic\Tools>schtasks

(35)

12. 프로세스 정보

12.1. 시작프로그램 C:\>Autorunsc.exe

Autorunsc shows programs configured to autostart during boot.

Usage: autorunsc [-x] [[-a] | [-b] [-c|-ct] [-d] [-f] [-e] [-g] [-h] [-i] [-k] [-l] [- m] [-o] [-p] [-r] [-s] [-v] [-w] [-wmi] [[-z <systemroot> <userprofile>] | [user]]]

-a Show all entries.

-b Boot execute.

-c Print output as CSV.

-ct Print output as tab-delimited values.

-d Appinit DLLs.

-e Explorer addons.

C:\>Autorunsc.exe

Sysinternals Autoruns v12.03 - Autostart program viewer

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms Location last modified: 2019-06-05 오후 1:30

rdpclip rdpclip

RDP 클립보드 모니터 Microsoft Corporation 6.3.17134.885

c:\windows\system32\rdpclip.exe 1968-10-24 오전 7:37

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit Location last modified: 2019-07-21 오전 10:07

C:\WINDOWS\system32\userinit.exe C:\WINDOWS\system32\userinit.exe Userinit 로그온 응용 프로그램 Microsoft Corporation

6.3.17134.1

c:\windows\system32\userinit.exe 2035-05-14 오전 3:27

C:\>wmic Startup get * /format:list Caption=ALYac

Command="c:\program files\estsoft\alyac\AYCLaunch.exe" /run Description=ALYac

Location=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Name=ALYac

SettingID=

User=Public UserSID=

(36)

Caption=WConMgr

Command="C:\PROGRAM FILES\Geni\WConMgr\WConMgr.exe"

Description=WConMgr

Location=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Name=WConMgr

SettingID=

User=Public UserSID=

12.2. 부팅 시 실행 C:\>Autorunsc.exe -b

HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute Location last modified: 2019-07-21 오전 10:07

autocheck autochk * autocheck autochk * Auto Check Utility Microsoft Corporation 6.3.17134.137

c:\windows\system32\autochk.exe 2017-12-16 오전 7:07

12.3. AppInit DLLs C:\>Autorunsc.exe -d

12.4. Explorer AddOn C:\>Autorunsc.exe -e

Sysinternals - www.sysinternals.com

HKLM\SOFTWARE\Classes\Protocols\Filter

Location last modified: 2019-06-05 오후 2:49 application/octet-stream

HKCR\CLSID\{1E66F26B-79EE-11D2-8710-00C04F79ED0D}

Microsoft .NET Runtime Execution Engine Microsoft Corporation

6.3.17134.1

c:\windows\system32\mscoree.dll 1974-04-09 오전 8:58

application/x-complus

6.3.17134.1

c:\windows\system32\mscoree.dll

(37)

1974-04-09 오전 8:58 application/x-msdownload

6.3.17134.1

c:\windows\system32\mscoree.dll 1974-04-09 오전 8:58

12.5. 실행 목록(활성 프로세스) C:\>pslist64.exe -t

Process information for QC-NB-02:

Name Pid Pri Thd Hnd VM WS Priv Idle 0 0 4 0 4 8 52 System 4 8 171 4432 17100 3880 216 smss 380 11 2 52 2151718412 448 492 Memory Compression 1768 8 42 0 274176 246088 732 Registry 96 8 3 0 132784 22012 1344 csrss 560 13 14 787 2151771480 3132 2076 wininit 644 13 1 166 2151744232 4076 1544 services 712 9 10 711 2151745732 8352 6632 svchost 344 8 14 1271 2151810276 13080 9244 svchost 512 8 7 398 2151761220 7396 4048 svchost 852 8 2 84 2151736164 1192 1012 svchost 876 8 22 1109 2151845832 25784 14440 dllhost 200 8 4 178 2151837432 6760 3168 SkypeBackgroundHost 724 8 2 166 2151777048 11136 1980 RuntimeBroker 984 8 2 158 2151772580 8028 1964 RuntimeBroker 1956 8 22 577 2151894748 27568 10220 RuntimeBroker 3280 8 4 278 2151850176 17892 5612 SkypeApp 3648 8 42 1050 39171420 191580 203196 WmiPrvSE 5048 8 10 427 2151834368 20456 11724 RuntimeBroker 5056 8 4 296 2151827040 18164 5264 SettingSyncHost 5248 6 8 634 2151890768 6116 12744 WinStore.App 6192 8 30 994 5199528 107756 46484 RuntimeBroker 6448 8 6 138 2151770072 7640 2304 ShellExperienceHost 7084 8 34 1020 2152216044 57204 28068 RuntimeBroker 7552 8 8 411 2151850916 22072 4792 YourPhone 7772 8 14 598 2152098508 24412 12824 Microsoft.Photos 8036 8 15 753 5162224 50568 42028 SearchUI 8240 8 39 1262 2186291336 130248 84180 dllhost 8288 8 2 147 2151783808 9036 2008 ApplicationFrameHost 9392 8 11 322 2151920828 25616 10536 RuntimeBroker 11328 8 7 344 2151849984 23156 5144 RuntimeBroker 13496 8 8 356 2151857448 22732 5788 SkypeBridge 12812 8 13 502 4981136 51660 44756 Video.UI 14320 8 18 683 2152213488 1100 20900 WUDFHost 904 13 10 288 2151760908 7272 3672 svchost 1196 8 41 704 2152035564 13688 11900 svchost 1204 8 7 235 2151768652 7520 2508 svchost 1216 8 3 134 2151750760 3464 1584

(38)

svchost 1304 8 2 187 2151757236 6160 2208 svchost 1336 8 5 147 2151762092 7892 2300 svchost 1488 8 14 390 2151801284 11632 6892 DropboxUpdate 5952 8 3 212 79300 1084 2120 RtkAudUService64 7364 6 7 278 4324364 1024 3560 taskhostw 10504 8 9 331 2151876336 16724 7952 svchost 1504 8 3 238 2151792484 7264 2664 svchost 1572 8 3 126 2151751088 5632 1864 svchost 1584 8 8 646 2151801528 20236 24644 svchost 1644 8 5 163 2151755624 5048 2056 svchost 1652 8 8 216 2155983916 9256 2768 svchost 1688 8 3 205 2151749628 2688 1400 svchost 1820 8 3 136 2151751276 3116 1716 svchost 1828 8 5 143 2151751936 6640 5444 svchost 1900 8 9 379 2151762488 7036 2880 sihost 9332 8 11 553 2151839360 22920 6112 svchost 1920 8 2 206 2151761060 6808 2236 svchost 1932 8 3 194 2151763984 6308 2188 svchost 1988 8 2 121 2151745584 2816 1348 svchost 2000 8 9 220 2151752808 4780 2508 igfxCUIService 2036 8 2 157 2151757380 5000 1800 igfxEM 13912 8 6 389 2151874520 21524 6000 svchost 2184 8 5 206 2151756848 4004 1832 svchost 2196 8 8 364 2151782660 9272 4816 svchost 2204 8 4 188 2151757800 4600 1992 svchost 2212 8 7 148 2151798584 5712 2004 svchost 2396 8 13 440 2151764876 6756 3368 svchost 2404 8 6 182 2151757988 4668 2064 svchost 2500 8 10 342 2151773376 10496 3840 svchost 2508 8 5 227 2151788508 5128 2280 svchost 2600 8 14 476 2151800916 16160 10648 svchost 2632 8 12 227 2151765720 5956 3832 svchost 2640 8 14 438 2151778548 9176 3720 svchost 2656 8 5 138 2151748132 3516 1812 svchost 2672 8 5 241 2151762600 12052 6152 svchost 2828 8 6 176 2151753408 4680 2184 svchost 2924 8 2 235 2151786136 10564 2852 svchost 2928 8 11 493 2151822116 12632 6204 svchost 2996 8 4 251 2151795000 9836 3388 spoolsv 3060 8 11 558 2151809968 12004 8172 svchost 3088 8 4 111 2151747144 5408 1440 IntelCpHeciSvc 3096 8 3 123 2151746872 3132 1368 AYCAgentSrv.ayc 3176 8 18 594 4356532 9944 13040 eausvc 3188 8 3 156 60288 3588 1428 svchost 3256 8 15 400 2151953400 15180 9720 mDNSResponder 3268 8 2 166 4264484 4380 1936 Everything 3284 8 2 144 4298752 3616 2048 IntelCpHDCPSvc 3296 8 3 138 2151748232 3280 1396 ibtsiva 3304 8 1 78 4252516 2660 1084 GnStart 3312 8 28 407 4362204 10116 5536 GnAgent 11292 8 39 518 4400556 19516 6692 GnPlugin 11740 8 44 611 4423796 34120 18948 GnESTsoft 2952 8 15 251 4357292 9028 3300

(39)

WConMgr 3220 8 16 309 4393648 14032 4288 AYCUpdSrv.ayc 3328 8 15 14425 4379468 6844 28688 AYCRTSrv.ayc 3340 8 25 826 5301828 16372 340184 NDriveSVC 3348 8 5 195 4306496 3900 3340 RtkAudUService64 3368 8 8 285 4297000 4664 2172 svchost 3376 8 5 173 2151763488 5016 2060 svchost 3384 8 8 268 2151844572 10916 4196 nossvc 3392 8 37 335 139452 2552 14856 nosstarter.npe 14188 8 190 1156 477860 12528 72272 svchost 3400 8 2 122 2151750516 2212 1636 SystraceFileServer 3420 8 15 250 87932 6172 4256 svchost 3440 8 7 382 2151804552 16124 4768 esif_uf 3448 13 3 120 2151750140 3360 1776 dptf_helper 9780 8 3 45 2151757936 3640 1320 jhi_service 3472 8 2 137 4267884 1960 1400 svchost 3488 8 14 1064 2151827672 23624 11900 svchost 3496 8 3 122 2151745620 2696 1332 svchost 3508 8 7 238 2151757956 4132 2812 SecurityHealthService 3516 8 5 216 2151766740 9696 3480 svchost 3584 8 7 200 2151760780 5316 2484 svchost 3600 8 17 367 2151932092 34812 27540 SgrmBroker 3700 8 2 65 2151731244 3712 3120 svchost 3808 8 12 476 2151769924 8912 3944 svchost 4108 8 9 445 2151793792 13656 4468 svchost 4300 8 3 100 2151745932 2272 1372 svchost 4344 8 13 362 2151776588 7496 3416 svchost 4552 8 13 391 2151813000 21116 8860 svchost 5204 8 21 819 2151983248 36900 37172 svchost 5612 8 6 110 2151748336 6452 1776 PresentationFontCache 5888 8 4 230 4774236 4408 32132 sedsvc 5980 8 7 330 2151808624 11996 4652 svchost 5988 8 10 276 2151785116 13228 4104 svchost 6068 8 3 159 2151752584 4328 1852 ctfmon 6960 13 9 378 2151801676 15036 5944 svchost 6464 8 6 198 2151761792 6336 2640 DbxSvc 6712 8 24 143 4280548 2976 2584 svchost 6948 8 6 121 2151754072 3384 1636 SearchIndexer 7172 8 21 832 2151984184 47304 48680 SearchFilterHost 6520 4 4 114 2151746120 6012 1372 SearchProtocolHost 8976 4 6 261 2151780712 7616 1832 svchost 7464 8 14 409 2151849500 13624 5580 svchost 7664 8 7 196 2151793980 8396 2636 svchost 8964 8 10 404 2151803700 16436 5960 svchost 8988 8 5 259 2151776016 13584 3696 svchost 9160 8 6 178 2151761896 10932 3576 svchost 9876 8 6 196 2151754920 4444 2004 svchost 11084 8 4 151 2151754768 3404 1940 svchost 11676 8 3 238 2151786976 8260 2568 svchost 12924 8 4 245 2151825784 9048 3104 svchost 13024 8 5 186 2151903308 5388 6232 svchost 14012 8 8 499 2151886756 29792 7936 svchost 14136 8 6 189 2151771604 9404 2320 lsass 728 9 10 1810 2151815952 16780 9280

(40)

fontdrvhost 896 8 5 44 2151799736 1076 2704 winlogon 6116 13 6 262 2151792780 8772 2612 fontdrvhost 1764 8 5 44 2151927880 14248 7396 dwm 8064 13 10 761 2152092560 76400 55108 csrss 8700 13 12 686 2151850828 5788 2452 AYCAgent.ayc 9560 8 13 504 4419600 9752 7236 explorer 11632 8 87 3076 2152445600 122632 59120 KakaoTalk 3772 8 58 978 342212 91620 107208 chrome 5912 8 31 1668 2152245520 133712 75220 chrome 860 8 14 462 2151992208 32696 17152 chrome 7384 8 15 373 2152294176 101792 74776 chrome 7712 4 13 340 2152234588 79924 56260 chrome 8236 8 11 346 2152259316 72336 52796 chrome 8344 8 14 343 2152226312 72260 50948 chrome 10680 8 10 619 2152462112 97932 92900 chrome 11588 8 7 215 2151810892 7536 2064 chrome 11976 8 12 281 2152117700 35284 20920 chrome 12680 8 11 276 2152107552 31828 18868 chrome 13936 8 2 142 2151806288 8132 1972 chrome 14116 4 12 267 2152091168 21908 12808 RAVCpl64 6136 8 8 365 4362680 11944 4184 cmd 6436 8 1 60 2151759516 4712 2920 conhost 2256 8 4 251 2151830496 16436 6840 pslist64 13728 13 4 278 4371692 13608 3968 Evernote 7980 8 38 1349 522756 116044 54076 EvernoteSubprocess 2284 8 17 312 291112 59656 50600 EvernoteSubprocess 5628 8 16 356 432524 106444 82156 EvernoteSubprocess 5840 8 16 312 289832 54400 50732 EvernoteTray 7532 8 3 150 92808 7528 1760 EvernoteClipper 9692 8 3 215 117088 11144 3348 EvernoteSubprocess 11644 8 15 298 252388 30540 24752 Everything 8492 8 10 553 4499420 77412 59364 WINWORD 8884 8 18 1156 859152 188104 163652 AcroRd32 11044 8 14 646 456512 154244 130492 RdrCEF 844 8 22 552 368068 30916 16680 RdrCEF 5532 8 13 341 466800 68540 61748 RdrCEF 8204 8 13 315 433092 51744 49256 C:\>tasklist

EvernoteSubprocess.exe 2284 Console 7 59,516 K ApplicationFrameHost.exe 9392 Console 7 28,396 K WinStore.App.exe 6192 Console 7 103,168 K RuntimeBroker.exe 11328 Console 7 22,616 K SystemSettings.exe 5112 Console 7 40,044 K AcroRd32.exe 10768 Console 7 74,636 K RdrCEF.exe 4080 Console 7 34,604 K RdrCEF.exe 9864 Console 7 69,960 K RdrCEF.exe 14312 Console 7 56,076 K tasklist.exe 7080 Console 7 7,420 K C:\>wmic process list brief [ or wmic path win32_process get * /format:list ]

HandleCount Name Priority ProcessId ThreadCount WorkingSetSize 0 System Idle Process 0 0 4 8192

(41)

4552 System 8 4 163 3993600

0 Registry 8 96 3 8302592

52 smss.exe 11 380 2 475136

798 csrss.exe 13 560 14 3219456

166 wininit.exe 13 644 1 4173824

12.6. 로드 DLL C:\>Listdlls.exe /?

ListDLLs v3.1 - List loaded DLLs

usage: listdlls [-r] [-v | -u] [processname|pid]

usage: listdlls [-r] [-v] [-d dllname]

processname Dump DLLs loaded by process (partial name accepted) pid Dump DLLs associated with the specified process id dllname Show only processes that have loaded the specified DLL.

-r Flag DLLs that relocated because they are not loaded at their base address.

-u Only list unsigned DLLs.

-v Show DLL version information.

C:\>Listdlls.exe [ -r ]

--- svchost.exe pid: 1304

Command line: c:\windows\system32\svchost.exe -k localsystemnetworkrestricted -p -s NcbService

Base Size Path

0x00000000d09f0000 0x18000 c:\windows\system32\svchost.exe 0x00000000359d0000 0x1e1000 C:\WINDOWS\SYSTEM32\ntdll.dll 0x00000000333e0000 0xb1000 C:\WINDOWS\System32\KERNEL32.DLL 0x0000000032be0000 0x273000 C:\WINDOWS\System32\KERNELBASE.dll 0x0000000033050000 0x5b000 C:\WINDOWS\System32\sechost.dll 0x0000000035090000 0x124000 C:\WINDOWS\System32\RPCRT4.dll 0x0000000032160000 0xf8000 C:\WINDOWS\System32\ucrtbase.dll 0x0000000035350000 0x322000 C:\WINDOWS\System32\combase.dll

0x0000000031ef0000 0x79000 C:\WINDOWS\System32\bcryptPrimitives.dll 0x0000000031ce0000 0x11000 C:\WINDOWS\System32\kernel.appcore.dll 0x00000000330b0000 0x9e000 C:\WINDOWS\System32\msvcrt.dll

0x0000000033150000 0x190000 C:\WINDOWS\System32\user32.dll 0x0000000032450000 0x20000 C:\WINDOWS\System32\win32u.dll 0x0000000032ec0000 0x28000 C:\WINDOWS\System32\GDI32.dll

^C

C:\>Listdlls.exe -u

ListDLLs v3.1 - List loaded DLLs

--- AYCAgentSrv.ayc pid: 3176

Command line: "C:\Program Files\ESTsoft\ASM\AYCAgentSrv.ayc"