레지스트리 포렌식

디지털 포렌식 수사 기법

레지스트리 개요

  • 운영체제와 응용프로그램 운영에 필요한 정보를 저장한 계층형 데이터베이스
  • 부팅 과정부터 로그인, 서비스 실행, 응용프로그램 실행, 사용자 행위 등 모든 활동에 관여
  • 레지스트리 분석은 윈도우 시스템 분석에 있어 포렌식 필수 사항

포렌식 관점

  • 운영체제 정보, 사용자 계정 정보, 시스템 정보, 응용프로그램 실행 흔적, 최근 접근 문서 등

  • 자동 실행 항목, 악성코드 탐지

  • 저장매체 사용 흔적 분석 (USB, 하드디스크 등)

  • 활성화 시스템에서 레지스트리 분석은 레지스트리 편집기 (RegEdit.exe)를 이용

  • 비활성화 시스템(복제/이미지 드라이브)에서의 레지스트리 분석은 하이브 파일을 수집하여 분석

하이브(Hive) 파일

  • 레지스트리 정보를 저장하고 있는 물리적인 파일
  • 키 값들을 논리적인 구조로 저장
  • 활성화 시스템 커널에서 하이브 파일을 관리하여 일반적인 방법으로 접근 불가
  • 대부분 포렌식 분석은 비활성화 시스템에서의 레지스트리 분석

하이브 리스트(Hivelist)

  • 활성시스템의 레지스트리를 구성하는 하이브 파일 목록

  • HKLM\SYSTEM\CurrentControlSet\Control\hivelist

  • SAM, SECURITY, SYSTEM, SOFTWARE, Default, NTUSER.DAT, Usrclass.dat, BCD, COMPONENTS 등

Registry Path File Path
HKLM\System %WINDIR%system32\config\SYSTEM
HKLM\SAM %WINDIR%system32\config\SAM
HKLM\Security %WINDIR%system32\config\SECURITY
HKLM\Software %WINDIR%system32\config\SOFTWARE
HKEY_USERS\Default %WINDIR%system32\config\DEFAULT
HKEY_USERS\User SID 사용자 Profile (NTUSER.DAT) Users\User

백업 및 로그 하이브

  • 운영체제에 의해 하이브 파일은 백업되거나 관련 로그 생성

  • 백업이나 로그 하이브 파일은 기존 하이브 파일의 일부 정보만 저장

  • 로그 파일도 하이브 파일과 동일한 구조

  • 백업 하이브 -> %SystemRoot%\System32\config\RegBack

  • 로그 하이브 -> %SystemRoot%\System32\config {기본/백업하이브로그(.LOG, .LOG1, .LOG2)}