본문 바로가기

레지스트리

Registry (3) 이번에는 HKEY_CURRENT_USER 루트키에 대해서 알아 볼 것이다. HKCU 루트키는 현재 로그온한 사용자의 정보를 서브키로 가지고 있는데 이 서브키들은 HKU 루트키에서 가져온 것들이다. [그림 1 - HKCU 서브키의 출처] 위 이미지를 보면 HKU의 서브키들 중 S1001 계정의 서브키들이 HKCU의 서브키와 동일 한 것을 볼 수 있다. 즉 현재 S1001 계정이 로컬에 로그온 되어 있다는 뜻이 된다. 각 서브키들이 어떠한 의미를 뜻하는지는 아래를 참조하자. [HKCU 서브키] - AppEvent : 이벤트와 사운드 사이의 연관 정보 - Console : 명령 프롬포트 설정 정보 - Control Panel : Sreen Saver, 데스크탑 테마, 키보드/마우스 등의 환경설정 정보 - En.. 더보기
Registry (2) 이전 글에서 레지스트리는 5개의 루트키와 각 루트키 아래에 서브키, 데이터들로 이루어져 있다는 것을 알아보았다. 이번에는 루트키 중 맨위에 위치하고 있는 HKEY_CLASSES_ROOT에 대해서 알아 볼 것이다. 이 루트키는 하위 서브키로 HKLM\SOFTWARE\Classes와 HKU\\Classes의 집합이라는 것을 저번글에서 언급하였다. 간단하게 확인을 해보면 아래와 같다. [그림 1 - HKCR 서브키 btapp] 위 이미지에서 보면 .btapp 라는 서브키가 보인다. 하지만 HKLM에서는 아래와 같디 .btapp 서브키가 보이지 않는다. [그림 2 - HKLM 서브키] 위 HKCR 서브키 중 bsc가 보이지만 btapp는 보이지 않는다. 이 btapp는 아래 이미지처럼 HKU에 있다. [그림 3.. 더보기
Registry (1) 윈도우 포렌식에서 메모리분석과 함께 제일 중요하게 여겨지고 있는 것은 레지스트리(Registry) 분석이다. 레지스트리란, 윈도우에서의 모든 정보가 저장되어 있는 데이터베이스이다. 레지스트리의 역사는 윈도우 3.1부터 시작되었으며, 시작은 .ini 파일처럼 단순한 구조로 시작되었다. 모든 정보가 저장되어 있는 만큼 포렌식 과정에서 얻고자 하는 정보도 들어있는 것은 분명하지만, 오늘날의 레지스트리는 복잡하고 양이 방대하여 섣불리 분석을 시도했다가는 분석한 시간에 비해 얻은 결과물은 초라할 것이다. 각 레지스트리가 어떠한 정보를 담고 있는지에 대해서 알아보도록 하자. 레지스트리를 공부하기 전에 알아둬야 할 용어들이 있는데 아래에 간단히 적어보도록 하겠다. 이 용어를 숙지한 후 레지스트리를 공부하게 된다면 조.. 더보기