안녕하세요. 도깬리 포렌식스 입니다.
오늘은 윈도우 레지스트리 두번째 시간입니다. 모두 화이팅하세요.
HKEY_USER Hives (HKU 하이브)
사용자 프로필은 아래의 위치에 저장됩니다.
Windows 7, Vista 이후 : \Users\
Windows XP : \Documents and Settings\
| 구분 | 내용 |
| HKU\[S-1-21…RID] | Associated NTUSER.DAT |
| HKU\[S-1-18 | Local System (DEFAULT) |
| HKU\[S-1-19 | LocalService NTUSER.DAT |
| HKU\[S-1-20 | NetworkService NTUSER.DAT |
HKEY_CURRENT_USER
현재 로그인하고 있는 사용자의 프로필과 연동되는 일종의 바로가기 링크입니다.
사용자 설정 정보
운영시스템과 어플리케이션에 대한 사용자 설정 정보는 ‘사용자 프로필’ 하이브에 저장됩니다.
즉 제어판, 윈도우 탐색기, 인터넷 익스플로러, 기타 어플리케이션, 네트워크 연결, 프린트 설정 등에 관한 각 사용자별 설정 정보를 저장합니다.
예) 현재 사용자 계정에서 시작 페이지
- HKCU\Software\Microsoft\Internet Explorer\Main
- Start Page
Evidence Processor에서 [System Info Parser]를 이용하면 레지스트리 정보를 쉽게 찾을 수 있습니다.
감사합니다.
오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : EnCase Computer Forensics (2)
'EnCase' 카테고리의 다른 글
| [EnCase] NTFS 분석 (1) (1) | 2022.03.20 |
|---|---|
| [EnCase] 타임존 (Time Zone) 분석 (0) | 2022.03.17 |
| [EnCase] 윈도우 레지스트리 (Windows Registry) (1) (0) | 2022.03.13 |
| [EnCase] 복합파일 (Compound Files) 분석 기법 (0) | 2022.03.11 |
| [EnCase] 파티션 복구 (Partition Recovery) (5) (0) | 2022.03.08 |