[EnCase] 윈도우 레지스트리(Windows Registry) 심화 분석 (1)

안녕하세요. 도깬리 포렌식스 입니다.

오늘부터는 윈도우 레지스트리(Windows Registry)에 대하여 심화 학습을 하겠습니다. 윈도우 포렌식에서 가장 어려운 아티팩츠 중에 하나가 바로 윈도우 레지스트리입니다. 나에게 어려우면 다른 사람도 당연히 어려운 법 !!! 자신감을 갖고 시작해볼까요?

 

윈도우 레지스트리 개요

레지스트리는 2개의 상태로 존재합니다.

 

온라인 레지스트리(Online Registry)

시스템이 작동하고 있는 동안에만 볼 수 있습니다.

 

오프라인 레지스트리 파일(Offline Registry Files)

시스템이 꺼져 있을 때의 레지스트리 상태를 보여줍니다.

 

온라인 레지스트리 조사하기

Start --> Run --> REGEDIT

레지스트리 엔트리를 변경 또는 삭제할 경우 OS에 치명적인 영향을 미칠 수 있습니다.

 

EnCase로 오프라인 레지스트리 조사하기

EnCase 안에는 레지스트리를 마운트하여 볼 수 있는 Registry Viewer를 내장하고 있습니다.

 

레지스트리 위치

C:\Windows\system32\config

 

레지스트리 하이브 파일

SAM, SECURITY, system, software, NTUSER.dat

 

레지스트리 하이브 파일의 내부할당 블록에 대한 헤더값 찾기

텍스트 탭에서 최대 사이즈를 4,096바이트로 하여 HBIN 헤더값 확인합니다.

Evidence Processing으로 처리하여 보거나, 일일이 View File Structure로 볼 수 있습니다.

 

레지스트리 하이브를 온라인 레지스트리 뷰처럼 보는 EnScript

Quick Registry Browser EnScript

 

 

윈도우 레지스트리 에디터(REGEDIT.EXE)로 레지스트리 하이브 조사하기

증거파일에서 어떤 프로그램을 발견한 경우, Program Files 폴더에서 해당 프로그램 폴더를 찾아 내보내기 하고, 이를 조사관의 워크스테이션에서 실험해 볼 수 있습니다.

이때 관련된 레지스트리 엔트리가 없다면 위 프로그램이 실행되지 않는 경우가 많은데, 필요한 레지스트리 데이터를REGEDIT로 내보내기 하고, 이를 오프라인에서 수정한 후, 다시 조사관의 워크스테이션의 레지스트리에 들여오면 위 혐의 프로그램을 실험할 수 있습니다.

관련된 레지스트리는 Process Monitor를 띄워 놓고, 해당 프로그램을 실행시켜서 어떤 레지스트리를 읽어 오는지 확인 가능합니다.

 

상세 절차

어떤 레지스트리를 읽어 오는지 확인되면 직접 해당 레지스트리 하이브 파일을 찾아 Export합니다.

RegEdit에 위 하이브 파일을 붙여 넣습니다.

붙여 넣은 것에서 해당 프로그램의 키를 찾아서 Export합니다.

위 키 파일(.reg)을 메모장에서 열어 증거 이미지 안에서의 레지스트리 및 프로그램 경로를 조사관 컴퓨터의 경로에 맞추처 수정합니다.

수정된 키 파일(.reg)을 더블 클릭하여 현재의 RegEdit에 붙여놓습니다.

최종적으로 조사관 컴퓨터에 설치된 해당 프로그램 폴더에서 프로그램을 실행시킵니다.

 

 

 

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Advanced Forensics