'포렌식' 태그의 글 목록 (24 Page)

본문 바로가기

포렌식

Registry (7) 이번에는 하이브 빈 보다 더 작은 논리적 저장단위인 셀에 대해서 알아 볼 것이다. [셀] 셀이란, 하이브 빈 보다 더 작은 논리적 저장단위이며 실제 레지스트리 데이터를 저장할 때 사용되는 단위는 셀이다. 셀 헤더에는 셀의 전체 길이가 저장되어 있으며, 이 값은 무조건 8바이트의 배수이어야 한다. 셀에는 5가지 종류가 있다. 지금부터 5가지 셀에 대해서 알아볼 것이다. [Key cell] 레지스트리의 키를 가지고 있는 셀로, '키 노드(Key node)'라고도 불린다. 이 셀에는 가장 최근에 키를 수정한 시간이 기록된다. 시그니처는 키노드의 경우 'nk', 키 링크의 경우 'lk'로 정해져있다. 각 오프셋에 대한 정보는 아래 이미지에 나와 있다. [그림 1 - key cell offset] 참고로 셀의 크.. 더보기

Registry (6) 지금까지는 레지스트리의 구조를 알아 봤다면 이젠 각 하이브들의 구조를 알아볼 차례이다. 하이브의 구조를 파악함으로써 비할당영역이나, 메모리등에서 하이브를 추출(카빙)할 수 있게 되고, 해당 하이브가 어떠한 이름을 가지고 있는지 어떠한 데이터를 가지고 있는지 파악 할 수 있게 된다. 하이브의 파일 구조 베이스블록, 하이브빈, 셀, 셀맵으로 이루어져 있다. 이해가 빠르도록 그림으로 표현하자면 아래와 같다. [그림 1 - 하이브 가식화] 이제 위에서 나온 것들을 하나씩 상세히 분석할 것이다. [블록] 하이브는 파일 시스템이 클러스터라 불리는 논리적 저장 단위를 사용하는 블록이라는 논리적 단위를 사용한다. 블록의 크기는 4킬로바이트이며, NTFS에서의 일반적인 클러스터 크기와 같다. 파일시스템의 경우 클러스터가.. 더보기

Registry (5) 레지스트리를 보다보면 아래 이미지와 같은 데이터 타입들을 보았을 것이다. [그림 1 - 데이터 타입] 레지스트리에는 여러가지 데이터 타입들이 존재하는데 이번 글에서는 레지스트리의 데이터 타입을 알아 볼 것이다. 아래는 타입을 정리해놓은 목록표이다. [그림 2 - 데이터 타입 목록표] 참고로 알아두어야 할 사항이 있다. HKCU\software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist 아래에 있는 서브키들은 value를 ROT-13 방식으로 저장한다. 레지스트리에서 해당 키의 서브키들만 이러한 방식을 사용한다. [그림 3 - UserAssist 서브키의 ROT-13 저장 방식] Zvpebfbsg.Jvaqbjf.PbagebyCnary 이 값은 해당 서브키.. 더보기

Registry (4) 이번에는 루트키중 HKEY_LOCAL_MACHINE 루트키에 대해서 알아보도록 하겠다. HKLM 루트키는 자체 하이브를 가지고 있으며, 시스템의 하드웨어, 소프트웨어 드라이버의 환경설정 정보를 가지고 있다. HKLM 하이브 중 일부는 관리자계정으로도 접근하지 못하는 하이브가 있으며, 이는 시스템 계정으로 접근이 가능하다. HKLM 하위 하이브 목록과 위치는 다음과 같다. [HKLM 하이브 목록과 위치] - HKLM\BCD00000000(Win Vista/7) : \Boot\BCD - HKLM\COMPONENTS(Win Vista/7) : %windows%\System32\Config\COMPONENTS - HKLM\HARDWARE : 메모리 - HKLM\SAM : %windows%\System32\Con.. 더보기

Registry (3) 이번에는 HKEY_CURRENT_USER 루트키에 대해서 알아 볼 것이다. HKCU 루트키는 현재 로그온한 사용자의 정보를 서브키로 가지고 있는데 이 서브키들은 HKU 루트키에서 가져온 것들이다. [그림 1 - HKCU 서브키의 출처] 위 이미지를 보면 HKU의 서브키들 중 S1001 계정의 서브키들이 HKCU의 서브키와 동일 한 것을 볼 수 있다. 즉 현재 S1001 계정이 로컬에 로그온 되어 있다는 뜻이 된다. 각 서브키들이 어떠한 의미를 뜻하는지는 아래를 참조하자. [HKCU 서브키] - AppEvent : 이벤트와 사운드 사이의 연관 정보 - Console : 명령 프롬포트 설정 정보 - Control Panel : Sreen Saver, 데스크탑 테마, 키보드/마우스 등의 환경설정 정보 - En.. 더보기

이전 1 ··· 21 22 23 24 25 26 27 28 다음

티스토리툴바