안녕하세요. 도깬리 포렌식스 입니다.
오늘부터는 윈도우 포렌식에서 가장 중요한 아티팩츠(Artifacts)이죠. 바로 윈도우 레지스트리(Windows Registry)에 대해서 얘기하려고 합니다. 윈도우 레지스트리만으로도 약 1주일간의 강좌를 구성할 수 있을 만큼 내용이 상당히 많습니다. 그럼에도 우리가 윈도우 포렌식에서 활용하는 레지스트리 정보는 전체 레지스트리 데이티의 5%도 안될 만큼 레지스트리는 '디지털 증거의 금광(Gold Mine)'입니다. 오늘은 그 첫시간 ! 이제 시작하겠습니다.
들어가는 말
포렌식 분석관은 자동화된 기능에 너무 의존하여서는 아니됩니다.
자동화된 기능이 없이는 원하는 데이터를 찾을 수 없는 상황을 초래할 수도 있기 때문입니다.
데이터가 원래 어디에 존재하였던 것인지(탐색방법), 어떤 포맷으로 존재하였는지(복구방법) 몰라서 추후 조사 결과를 검증할 수 없게 될 수 있습니다.
레지스트리의 정의
일종의 데이터베이스입니다.
컴퓨터 하드웨어, 어플리케이션, 서비스, 보안 및 사용자에 대한 설정 정보를 저장해 둔 데이터베이스입니다.
예) Internet Explorer에서 홈페이지를 바꾸거나, 화면의 해상도를 바꿀 경우, 이러한 변경사항은 레지스트리에 기록됩니다.
운영시스템을 시작하면 먼저 software, system, SECURITY, SAM 하이브가 메모리에 읽혀지고, 계정 인증을 하고 나면, NTUSER.DAT이 읽혀집니다.
이들 5개의 레지스트리(4S, 1N)를 메인 레지스트리라고 흔히 부릅니다.
레지스트리 파일의 조사 방법
실시간 동적 분석
Live 상태에서 Regedit를 통해 분석합니다.
예) HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs
사후 정적 분석
하이브 파일을 마운트하여 분석합니다.
예) NTUSER.DAT 마운트 software\Microsoft\Internet Explorer\TypedURLs
HKEY_LOCAL_MACHINE Hives (HKLM 하이브)
하이브(Hives)는 Subtree와 Key가 조합된 것으로, 각각의 하이브는 싱글 파일과 연동됩니다.
로컬 컴퓨터의 환경 설정에 적용되어 로그인하는 각각의 사용자에게 영향을 미칩니다.
| Subtree/Key | Hive File name |
| HKEY_LOCAL_MACHINE\SYSTEM | Windir\system32\config\System |
| HKEY_LOCAL_MACHINE\SOFTWARE | Windir\system32\config\Software |
| HKEY_LOCAL_MACHINE\SECURITY | Windir\system32\config\SECURITY |
| HKEY_LOCAL_MACHINE\SAM | Windir\system32\config\SAM |
하이브 파일은 확장자가 없습니다.
‘HARDWARE’ 키는 Live 상태에서 REGEDIT를 통해서만 볼 수 있으며, 여기에는 부팅 과정에서 탐지된 하드웨어 장치에 대한 정보를 포함합니다.
즉, 이 키는 휘발성 키이며, 하이브 파일에 저장되지 않습니다.
감사합니다. 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : EnCase Computer Forensics (2)
'EnCase' 카테고리의 다른 글
| [EnCase] 타임존 (Time Zone) 분석 (0) | 2022.03.17 |
|---|---|
| [EnCase] 윈도우 레지스트리 (Windows Registry) (2) (0) | 2022.03.15 |
| [EnCase] 복합파일 (Compound Files) 분석 기법 (0) | 2022.03.11 |
| [EnCase] 파티션 복구 (Partition Recovery) (5) (0) | 2022.03.08 |
| [EnCase] 파티션 복구(Partition Recovery) (4) (0) | 2022.03.06 |