HKCU 루트키는 현재 로그온한 사용자의 정보를 서브키로 가지고 있는데 이 서브키들은 HKU 루트키에서 가져온 것들이다.
위 이미지를 보면 HKU의 서브키들 중 S1001 계정의 서브키들이 HKCU의 서브키와 동일 한 것을 볼 수 있다.
즉 현재 S1001 계정이 로컬에 로그온 되어 있다는 뜻이 된다.
각 서브키들이 어떠한 의미를 뜻하는지는 아래를 참조하자.
[HKCU 서브키]
- AppEvent : 이벤트와 사운드 사이의 연관 정보
- Console : 명령 프롬포트 설정 정보
- Control Panel : Sreen Saver, 데스크탑 테마, 키보드/마우스 등의 환경설정 정보
- Environment : 환경 변수 정의
- EUDC : 최종 사용자가 정의한 문자 정보
- Identities : 윈도우 메일 계정 정보
- Keyboard Layout : 키보드 레이아웃 설정 정보
- Network : 네트워크 드라이브 맵핑 정보, 환경 설정 값
- Printers : 프린터 연결 정보
- Sessions information : 현 세션에서 동작 중인 프로그램들 중에서 작업 표시줄에서 보이는 프로그램의 숫자
- Software : 현재 로그온한 사용자와 관련이 있는 소프트웨어들의 목록
- UNICODE Program groups(Win XP) : 현재 로그온한 사용자가 지정한 '시작'메뉴 환경 설정 값
- system(Win 7) : HKLM/SYSTEM 서브키의 일부
- Volatile Environments : 휘발성 환경 변수 정의
이제 HKEY_USER 루트키에 대해 알아보도록 하겠다.
HKU 루트키는 시스템의 모든 계정 정보를 담고 있는 루트키이다.
루트키와 각 서브키의 계정 프로파일이 있다는 것만 제외하면 HKU의 서브키들은 HKCU 서브키와 동일하다.
계정 프로파일은 각 키들의 (기본값)에 링크되어 있다.
아래는 HKU를 구성하는 하이브들의 목록과 하이브들의 저장경로이다.
[HKU 하이브 목록과 저장경로]
1. HKU\<로컬 사용자의 계정 SID>
- Win XP : Documents and Settings\LocalService\NTUSER.DAT
- Win Vista/7 : %Windows%\ServiceProfiles\LocalService\NTUSER.DAT
2. HKU\<네트워크 사용자의 계정 SID>
- WIn XP : Documents and Settings\NetworkService\NTUSER.DAT
- Win Vista/7 : %Windows%\ServiceProfiles\NetworkService\NTUSER.DAT
3. HKU\<사용자 SID>
- Win XP : Documents and Settings\<user name>\NTUSER.DAT
- Win Vista/7 : Users\<user name>\NTUSER.DAT
4. HKU\<사용자의 SID>_Classes
- Win XP : Documents and Settings\<user name>\Local Settings\ApplicationData\Microsoft\Windows\UsrClass.dat
- Win Vista/7 : Users\<user name>\AppData\Local\Microsoft\윈도우\UsrClass.dat
5. HKU\.DEFAULT : %Windows%\System32\Config\Default
이번에는 HKEY_CURRENT_CONFIG 루트키에 대하여 알아보도록 하겠다.
HKCC 루트키는 시스템이 시작할때 사용되는 하드웨어 프로파일을 저장하고 있으며, 별도의 하이브를 가지고 있지 않다.
프로그램이 현재 활성화된 하드웨어를 알아보기 위해 이 루트키를 참조한다.
'[+] Forensic' 카테고리의 다른 글
| Registry (5) (0) | 2012.01.04 |
|---|---|
| Registry (4) (0) | 2012.01.03 |
| Registry (2) (0) | 2012.01.02 |
| Registry (1) (0) | 2012.01.02 |
