일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
- AWS Opensearch
- 보안
- AWS EKS
- 정보보안
- forensic
- AWS EKS Udemy
- AWS
- 정보보안기사 실기
- isms-p
- hacking case
- CFReDS
- AWS Elasticsearch
- 해킹
- 정보보안기사
- Autopsy
- 포렌식
- artifacts
- 실습
- 모의해킹
- k8s
- AWS 쿠버네티스
- iam
- 보안기사
- 쿠버네티스
- The Sleuth Kit
- ISMS-P 인증심사원
- ISMS
- kubernetes
- TSK
- SMS-P 인증 기준 안내서 요약
- Today
- Total
Always-Try(정보보안 및 일상)
윈도우/포렌식 - 레지스트리 정보 본문
출처: https://ko.wikipedia.org/wiki/%EC%9C%88%EB%8F%84%EC%9A%B0_%EB%A0%88%EC%A7%80%EC%8A%A4%ED%8A%B8%EB%A6%AC
#1. 레지스트리 종류
- HKEY_CLASSES_ROOT (HKCR):
파일 연결, OLE 객체 클래스 ID와 같은 등록된 응용 프로그램의 정보를 담고 있다. 윈도우 2000 이후로, HKCR은 HKCU\Software\Classes와 HKLM\Software\Classes를 편집한다. 주어진 값이 위의 서브키의 두 곳에 존재하면, HKCU\Software\Classes의 항목을 사용한다. - HKEY_CURRENT_USER (HKCU):
현재 로그인한 사용자의 설정을 담고 있다. - HKEY_LOCAL_MACHINE (HKLM):
컴퓨터의 모든 사용자의 설정을 담고 있다. - HKEY_USERS (HKU):
컴퓨터에서 사용 중인 각 사용자 프로파일에 대한 HKEY_CURRENT_USER 키에 일치하는 서브키를 담고 있다. - HKEY_CURRENT_CONFIG:
실행 시간에 수집한 자료를 담고 있다. 이 키에 저장된 정보는 디스크에 영구적으로 저장되지 않고 시동 시간에 생성된다. - HKEY_PERFORMANCE_DATA:
런타임 성능 데이터 정보를 제공한다. 이 키는 레지스트리 편집기에 보이지 않지만 윈도우 API의 레지스트리 명령어를 통해 볼 수 있다. - HKEY_DYN_DATA:
이 키는 윈도우 95, 윈도우 98, 윈도우 Me에만 쓰인다. 플러그 앤 플레이를 비롯한 하드웨어 장치, 네트워크 성능 통계에 대한 정보를 포함한다. 이 하이브의 정보는 하드 드라이브에 저장되지 않는다. 플러그 앤 플레이 정보는 컴퓨터가 시작할 때 구성되며 메모리에 저장된다.
#2. OS별 레지스트리 위치
윈도우 NT 기반의 운영 체제
윈도우 NT 기반의 운영 체제는 레지스트리를 이진 파일의 하이브 형식으로 저장한다. 윈도우 NT 기반 운영체제들이 내보내고 불러오는 등의 작업을 할 수 있도록 구성되어 있다. 다음의 레지스트리 파일들은 %SystemRoot%\System32\Config\에 저장된다:
- Sam – HKEY_LOCAL_MACHINE\SAM
- Security – HKEY_LOCAL_MACHINE\SECURITY
- Software – HKEY_LOCAL_MACHINE\SOFTWARE
- System – HKEY_LOCAL_MACHINE\SYSTEM
- Default – HKEY_USERS\.DEFAULT
- Userdiff – 하이브에 연결되어 있지 않다. 운영 체제를 업그레이드할 때에만 이용한다.
아래의 파일들은 개별 사용자 프로파일 폴더에 저장된다:
- %UserProfile%\Ntuser.dat – HKEY_USERS\<사용자 SID> (HKEY_CURRENT_USER로 연결)
- %UserProfile%\Local Settings\Application Data\Microsoft\Windows\Usrclass.dat (경로는 운영 체제의 언어에 따라 지역화되어 있다) – HKEY_USERS\<User SID>_Classes (HKEY_CURRENT_USER\Software\Classes)
윈도우 2000은 레지스트리 하이브 (.ALT)의 대체 복사본을 유지하고, 손상이 감지될 때 기존의 복사본으로 되돌린다. 윈도우 XP와 윈도우 서버 2003은 NTLDR이 System.log 파일을 처리하여 시스템 종료 또는 충돌 시 일정하지 않은 시스템 하이브의 날짜를 가져올 수 있으므로 System.alt 하이브를 유지하지 않는다. 또한 %Windir%\Repair 폴더는 윈도우를 설치하여 성공적으로 시작한 뒤에 만들어진 시스템 레지스트리 하이브의 복사본을 포함하고 있다.
윈도우 95, 98, Me
레지스트리 파일은 USER.DAT와 SYSTEM.DAT라는 이름을 가지며 %WINDIR% 디렉터리에 저장된다. 윈도우 Me에서는 Classes.dat가 추가되었다. 또한 각 사용자 프로파일은 프로파일을 사용할 경우 저마다 프로파일 디렉터리 안에 USER.DAT를 가지고 있다.
윈도우 3.11
윈도우 3.11을 개발하는 동안, .INI 파일을 제거해야 하는 필요성이 제기되었다. 이에 따라 새로운 파일 형식이 프로그래밍 환경에 도입되었으며 이 파일을 Reg.dat라 부른다. 이 파일은 C:\WINDOWS 디렉터리에 저장되며, 윈도우 95 레지스트리의 선구자 역할을 한다.
'Forensic' 카테고리의 다른 글
The CFReDS Project - Hacking Case 5번 (Registerd Owner) with autopsy (0) | 2021.03.05 |
---|---|
The CFReDS Project - Hacking Case 4번 (Timezone) with autopsy (0) | 2021.03.04 |
The CFReDS Project - Hacking Case 3번 (윈도우 최초 설치 날짜) with autopsy (0) | 2021.03.04 |
Autopsy for windows 팁 - 분석 Timezone 설정은 UTC로! (0) | 2021.03.04 |
The CFReDS Project - Hacking Case 2번 (운영체제 확인) with autopsy (0) | 2021.03.04 |