윈도우는 타 OS와 다르게 레지스트리에 의존도가 높은편이다.
때문에 어플리케이션 관련, 계정관련, 보안관련, 하드웨어관련(USB 등) 정보들 거의 대부분이 레지스트리에 기록을 남기게된다.
디지털 포렌식에서는 이를 이용해서 상당히 유용한 정보를 수집할 수 있다.
레지스트리에 관해서 간략하게 정리하겠다.
(실행창에 regedit 을 입력하면 레지스트리들을 트리구조로 볼 수 있다.)
HKEY_CLASSES_ROOT : 파일 확장자에 대한 정보. 파일과 프로그램 연결에 대한 정보. 마우스 우클릭정보 등등..
때문에 어플리케이션 관련, 계정관련, 보안관련, 하드웨어관련(USB 등) 정보들 거의 대부분이 레지스트리에 기록을 남기게된다.
디지털 포렌식에서는 이를 이용해서 상당히 유용한 정보를 수집할 수 있다.
레지스트리에 관해서 간략하게 정리하겠다.
(실행창에 regedit 을 입력하면 레지스트리들을 트리구조로 볼 수 있다.)
HKEY_CLASSES_ROOT : 파일 확장자에 대한 정보. 파일과 프로그램 연결에 대한 정보. 마우스 우클릭정보 등등..
HKEY_CURRENT_USER : 현재 로그인중인 사용자들에대한 정보, 응용프로그램 관련 정보, 보안접근 허용관련 접근 등 설치된 윈도우 환경설정정보들 포함
HKEY_LOCAL_MACHINE : 하드웨어 구성 초기화 파일, 제어판과 밀접한 파일, 드라이버 정보 등등
HKEY_USERS : 이전 사용자 초기화 파일 보관, 두 키 사이가 겹치면 HKEY_CURRENT_USER가 우선시됨
HKEY-CURRENT_CONFIG : 윈도우의 디스플레이 정보와 프린터 관련 정보
:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU
최근 열리거나 저장된 파일목록 들어있다.(MRU : most recently used)
최근 열리거나 저장된 파일목록 들어있다.(MRU : most recently used)
:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
사용자가 접근한(실행한) 프로그램
사용자가 접근한(실행한) 프로그램
:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00x\Enum\USBSTOR
usb 장치 정보
usb 장치 정보
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
의 AppInit_DLLs. 어플리케이션 실행시 로딩되는 dll
(dll injection을 이용한 악성코드는 이곳을 이용하기도 한다.)
'Secure Note' 카테고리의 다른 글
| free web proxy site (0) | 2012.03.07 |
|---|---|
| md5 (0) | 2011.11.05 |
| RSA - source (0) | 2011.10.26 |
| 암호학 기본(개론... 이랄까) (0) | 2011.10.26 |
| 우회 (0) | 2011.10.02 |