안녕하세요. 도깬리 포렌식스 입니다.
설명이 필요없는 최고의 윈도우 포렌식 분석 아이템 ! 윈도우 레지스트리에 대해 알아 보겠습니다. 모두 화이팅하세요!
What is the Registry
일종의 centralized hierarchical database 입니다.
부팅할 때 메모리에 레지스트리 DB를 올려 놓고 동작하며, 컴퓨터를 끌 때 메모리에 올라가 있는 DB는 각각의 Hive에 저장되는 메커니즘입니다.
Forensic Benefits of the Registry
레지스트리에서의 주요 분석 대상은 다음과 같습니다.
- 사용자명, 패스워드
- 인터넷 검색 흔적
- 최근에 열람한 파일
- 설치된 모든 프로그램에 관한 목록
- 시스템 사용자명과 로그온한 정보
- 하드웨어, 소프트웨어 정보 등
Hives – Symbolic Links
HKEY_LOCAL_MACHINE 와 HKEY_USERS
기본 하이브입니다.
HKEY_LOCAL_MACHINE
로컬 머신에 대한 설정 정보를 포함합니다.
HKEY_USERS
로컬 머신의 모든 사용자에 대한 설정 정보를 포함합니다.
Hive Files in the File System
파일시스템에서의 Hive 파일의 위치와 레지스트리와의 상관 관계는 아래의 표와 같습니다.
| Hive | Description |
| SAM, Security, System, Software | C:\Windows\System32\Config 아래에 위치합니다. HKEY_CLASSES_ROOT 와 같은 Symbolic Links에 관한 정보는 이들 각각의 파일 안에 저장됩니다. |
| Hardware | 파일시스템에 저장되지 않는 Hive입니다. 시스템을 구동하였을 때 생겼다가, 시스템을 종료하면 없어집니다. |
| NTUSER.DAT | HKEY_CURRENT_USER 과 HKEY_USERS 와 관련된 로그온한 사용자의 레지스트리 파일입니다. |
| BCD-BCD | Boot Configuration Data를 의미합니다. Windows 7에서 기본설정대로 하면, 100MB System Reserved Partition이 생성됩니다. EFI, BIOS 모두를 지원합니다. |
| UsrClass.dat | Secondary User Profile 입니다. User’s MUICache를 저장합니다. |
Registry Editor Navigation
Hive
root folder와 비슷한 개념입니다.
Key
Sub folder와 비슷한 개념입니다.
SubKey
Sub folder 내부에 존재하는 folder와 비슷한 개념입니다.
Value
실제 data file과 비슷한 개념입니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : AD Windows Forensics (Win7)
'FTK' 카테고리의 다른 글
| [FTK] 윈도우 레지스트리 아티팩츠 분석 (1) (0) | 2022.09.07 |
|---|---|
| [FTK] 윈도우 레지스트리 기본 (2) (0) | 2022.09.05 |
| [FTK] 윈도우의 보호모드 (Windows Protected Mode) (0) | 2022.08.31 |
| [FTK] 링크 파일과 점프 리스트 (2) (0) | 2022.08.29 |
| [FTK] 링크 파일과 점프 리스트 (1) (0) | 2022.08.27 |