Data Leakage Case #10, application install

data leakage case #10~11, application install/execution logs

---

10) What applications were installed by the suspect after installing OS?

해설: OS가 설치된 이후에 설치된 응용프로그램은?

 

SOFTWARE 레지스트리 추출

OS에 설치된 응용프로그램을 알아내기 위해 (C:\Windows\System32\config)경로에 있는 윈도우 레지스트리 중 SOFTWARE라는 레지스트리 파일을 추출하여 분석한다. [우클릭] - [Export Files]

 

Registry Explorer를 실행 한 뒤, [File] - [Load hive]하여 SOFTWARE 레지스트리 파일을 로드한다.

 

---

64비트 응용프로그램 설치기록

레지스트리 경로: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\~

위의 그림과 같이 레지스트리 경로를 찾아가 본 결과 강조된 내용과 같이 약 5개의 프로그램이 설치 된 것을 알 수 있었다. 자세한 내용은 아래의 Report를 참고한다.

 

Report 

 

---

32비트 응용프로그램 설치기록

레지스트리 경로 

: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\~ 

 

64비트 응용프로그램은 위의 레지스트리의 내용에 담겨있는 것을 확인 할 수 있다. 빨간 색으로 강조된 내용이 사용자가 응용프로그램을 다운받은 것으로 추측된다. 

 

Report 

---

정리 (32bit & 64bit, time sequence)

 

---

출처:https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html

CFReDS - Data Leakage Case