안녕하세요. 도깬리 포렌식스 입니다.
태풍으로 인해 월요일 아침부터 비가 내리네요. 이번 한주도 힘내세요!
Viewing Registry Properties
레지스트리 속성은 레지스트리 value 안에서 인식가능하도록 추출해야 합니다.
윈도우 NT 기반의 레지스트리 파일에 포함된 모든 키는 Last Written Time 속성을 갖고 있습니다.
Accessing Live Registry Files
‘Registry Viewer’는 동작중인 시스템의 레지스트리 파일은 열 수 없습니다.
윈도우 API는 시스템이 동작중인 경우 레지스트리 파일을 보호합니다.
Obtaining Registry Files
Live System 인 경우
Regedit로 추출 가능합니다.
FTK Imager로 추출 가능합니다.
Obtain Protected Files를 클릭하며 수행합니다.
RegBack로 레지스트리 백업본을 추출 가능합니다.
C:\Windows\System32\Config\RegBack
Vista : 10일 마다 백업본을 생성합니다.
Win 7 : 14일 마다 백업본 생성합니다.
Dead Box Image 인 경우
FTK, FTK Imager, RegBack로 추출 가능합니다.
Applications Using The Registry
레지스트리는 어떤 프로그램의 동작 중에 갱신될 수도 있고, 프로그램이 종료한 뒤에야 갱신이 되는 경우도 있습니다.
각각의 레지스트리 엔트리는 서로 다른 방법으로 갱신이 이루어집니다.
즉, “프로그래머가 만들기 나름”
Registry-intensive Program
프로그램 구동에 필요한 설정 정보를 레지스트리에 저장해 둡니다.
Filesystem-intensive Program
프로그램 구동에 필요한 설정 정보를 레지스트리가 아니라 파일시스템에 저장해 둡니다.
예) Firefox
새롭게 사용자 계정을 만들면, 만들자 마자 바로 갱신이 이루어집니다.
TypedURL MRU List의 경우에는 Internet Explorer를 종료해야 레지스트리에 변경사항이 반영됩니다.
Documenting Analysis
HTML 형식의 Standard Reports는 FTK와 Registry Viewer에서 모두 사용 가능합니다.
Summary Reports
Define Summary Report
선별된 개별 키값에 대한 요약 리포트를 만들 수 있습니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : AD Windows Forensics (Win7)
'FTK' 카테고리의 다른 글
| [FTK] 윈도우 레지스트리 아티팩츠 분석 (2) (0) | 2022.09.09 |
|---|---|
| [FTK] 윈도우 레지스트리 아티팩츠 분석 (1) (0) | 2022.09.07 |
| [FTK] 윈도우 레지스트리 기본 (1) (0) | 2022.09.02 |
| [FTK] 윈도우의 보호모드 (Windows Protected Mode) (0) | 2022.08.31 |
| [FTK] 링크 파일과 점프 리스트 (2) (0) | 2022.08.29 |