EnCase
[EnCase] 윈도우 레지스트리 (Windows Registry) (2)
도깬리
2022. 3. 15. 06:50
안녕하세요. 도깬리 포렌식스 입니다.
오늘은 윈도우 레지스트리 두번째 시간입니다. 모두 화이팅하세요.
HKEY_USER Hives (HKU 하이브)
사용자 프로필은 아래의 위치에 저장됩니다.
Windows 7, Vista 이후 : \Users\
Windows XP : \Documents and Settings\
| 구분 | 내용 |
| HKU\[S-1-21…RID] | Associated NTUSER.DAT |
| HKU\[S-1-18 | Local System (DEFAULT) |
| HKU\[S-1-19 | LocalService NTUSER.DAT |
| HKU\[S-1-20 | NetworkService NTUSER.DAT |
HKEY_CURRENT_USER
현재 로그인하고 있는 사용자의 프로필과 연동되는 일종의 바로가기 링크입니다.
사용자 설정 정보
운영시스템과 어플리케이션에 대한 사용자 설정 정보는 ‘사용자 프로필’ 하이브에 저장됩니다.
즉 제어판, 윈도우 탐색기, 인터넷 익스플로러, 기타 어플리케이션, 네트워크 연결, 프린트 설정 등에 관한 각 사용자별 설정 정보를 저장합니다.
예) 현재 사용자 계정에서 시작 페이지
- HKCU\Software\Microsoft\Internet Explorer\Main
- Start Page
Evidence Processor에서 [System Info Parser]를 이용하면 레지스트리 정보를 쉽게 찾을 수 있습니다.
감사합니다.
오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : EnCase Computer Forensics (2)