윈도우 포렌식 썸네일형 리스트형 Registry (2) 이전 글에서 레지스트리는 5개의 루트키와 각 루트키 아래에 서브키, 데이터들로 이루어져 있다는 것을 알아보았다. 이번에는 루트키 중 맨위에 위치하고 있는 HKEY_CLASSES_ROOT에 대해서 알아 볼 것이다. 이 루트키는 하위 서브키로 HKLM\SOFTWARE\Classes와 HKU\\Classes의 집합이라는 것을 저번글에서 언급하였다. 간단하게 확인을 해보면 아래와 같다. [그림 1 - HKCR 서브키 btapp] 위 이미지에서 보면 .btapp 라는 서브키가 보인다. 하지만 HKLM에서는 아래와 같디 .btapp 서브키가 보이지 않는다. [그림 2 - HKLM 서브키] 위 HKCR 서브키 중 bsc가 보이지만 btapp는 보이지 않는다. 이 btapp는 아래 이미지처럼 HKU에 있다. [그림 3.. 더보기 Registry (1) 윈도우 포렌식에서 메모리분석과 함께 제일 중요하게 여겨지고 있는 것은 레지스트리(Registry) 분석이다. 레지스트리란, 윈도우에서의 모든 정보가 저장되어 있는 데이터베이스이다. 레지스트리의 역사는 윈도우 3.1부터 시작되었으며, 시작은 .ini 파일처럼 단순한 구조로 시작되었다. 모든 정보가 저장되어 있는 만큼 포렌식 과정에서 얻고자 하는 정보도 들어있는 것은 분명하지만, 오늘날의 레지스트리는 복잡하고 양이 방대하여 섣불리 분석을 시도했다가는 분석한 시간에 비해 얻은 결과물은 초라할 것이다. 각 레지스트리가 어떠한 정보를 담고 있는지에 대해서 알아보도록 하자. 레지스트리를 공부하기 전에 알아둬야 할 용어들이 있는데 아래에 간단히 적어보도록 하겠다. 이 용어를 숙지한 후 레지스트리를 공부하게 된다면 조.. 더보기 이전 1 2 3 다음
