레지스트리 포렌식 썸네일형 리스트형 Registry (11) [MRU(Most Recently Used)] 윈도우는 사용자가 특정 행위를 하였을 때 마지막 행위를 레지스트리에 기록해 두는데 이 목록이 MRU List이다. 이제부터 소개하는 것들이 MRU List에 포함 되는 것들이다. [검색 목록] 윈도우의 검색 목록은 레지스트리에 XP의 경우 검색 종류에 따라 각각 기록되는 서브키가 다르며, Win 7의 경우 통합적으로 기록이 된다. 키(XP) : HKCU\Software\Microsoft\Search Assistant\ACMru\5603 --> 모든 파일과 폴더 검색 기록 키(XP) : HKCU\Software\Microsoft\Search Assistant\ACMru\5001 --> 로컬 인터넷 검색 키(XP) : HKCU\Software\Microsoft\.. 더보기 Registry (10) [이동형 저장장치 정보] 이동형 저장장치는 USB 썸 드라이브(Thumb Drive)나 외장 하드 드라이브처럼 한곳에 고정되어 있지 않고 편하게 휴대하여 다닐 수 있는 저장장치들을 말한다. 요즘은 이러한 저장장치들의 크기가 커지면서 활용도가 엄청 높아져서 이로인한 보안사고도 빈번하게 일어난다. 회사들의 경우 이동형 저장장치의 반입을 물리적으로 차단하기도 하고 컴퓨터의 USB 포트를 봉인해두기도 한다. 이동형 저장장치가 컴퓨터에 연결되면 Plug & Plug Play Manager가 이벤트 알림신호를 받고 연결된 이동형 저장장치에 장치 정보들을 요청한다. 이 정보를 바탕으로 PnP Manager는 Device Class ID를 부여하고 적절한 드라이버를 찾은 후 해당 드라이버가 현재 로드되어 있지 않으면 .. 더보기 Registry (9) 계속해서 포렌식적으로 의미있는 레지스트리들을 살펴보겠다. [서비스 및 드라이버 목록] 이 정보는 라이브 리스폰스 단계에서 수집되는 정보이며, 레지스트리에서도 수집 할 수 있는 정보이다. 아래 키로 가면 서비스와 드라이버 목록들이 서브키로 나열되어 있다. 드라이버 목록과 서비스를 구별하는 방법은 각 서브키의 Value 중 type이란 Value의 값을 보면 판단 할 수 있다. 키 : HKLM\System\CurrentControlSet\Service [그림 1 - 레지스트리에서의 서비스 및 드라이버 목록] Start Value 값에 따라 자동 시작되는 서비스가 될 수도 있고 안될 수도 있다. * 타입별 자세한 설명은 http://support.microsoft.com/kb/103000 참조하기 바란다. [.. 더보기 Registry (8) 지금까지 레지스트리의 구조와 레지스트리를 이루고 있는 하이브의 구조를 알아보았다. 하지만 레지스트리의 구조는 복잡하고 양은 너무 많아 포렌식적으로 접근하기에는 너무 무모한 감이 없지 않다. 또 어떠한 것을 의미하는지 아직 알려지지 않은 부분도 있어 정확하게 분석하기가 아직까지는 힘들다. 그렇기에 지금부터 알아보는 포렌식적 의미의 레지스트리를 잘 알아두어야 할 것이다. * 참고 : 레지스트리는 윈도우 버전마다 조금씩 다른 부분이 있음. [시스템 정보] 시스템 정보는 컴퓨터 포렌식 조사에서 수집되어야 할 정보들 중 기본에 속하는 정보이다. 이 정보는 라이브 리스폰스 단계에서도 획득 할 수 있지만, 라이브 리스폰스를 수행할 시간이 없다거나 시스템이 해킹으로 인해 전원 차단 상황등에 놓이게 되면 정보를 획득하지.. 더보기 Registry (6) 지금까지는 레지스트리의 구조를 알아 봤다면 이젠 각 하이브들의 구조를 알아볼 차례이다. 하이브의 구조를 파악함으로써 비할당영역이나, 메모리등에서 하이브를 추출(카빙)할 수 있게 되고, 해당 하이브가 어떠한 이름을 가지고 있는지 어떠한 데이터를 가지고 있는지 파악 할 수 있게 된다. 하이브의 파일 구조 베이스블록, 하이브빈, 셀, 셀맵으로 이루어져 있다. 이해가 빠르도록 그림으로 표현하자면 아래와 같다. [그림 1 - 하이브 가식화] 이제 위에서 나온 것들을 하나씩 상세히 분석할 것이다. [블록] 하이브는 파일 시스템이 클러스터라 불리는 논리적 저장 단위를 사용하는 블록이라는 논리적 단위를 사용한다. 블록의 크기는 4킬로바이트이며, NTFS에서의 일반적인 클러스터 크기와 같다. 파일시스템의 경우 클러스터가.. 더보기 이전 1 2 다음
