Forensic Artifacts
-
Windows Registry
Registry Artifacts
레지스트리 개요
- 운영체제와 응용프로그램 운영에 필요한 정보를 저장한 계층형 데이터베이스
- 부팅 과정부터 로그인, 서비스 실행, 응용프로그램 실행, 사용자 행위 등 모든 활동에 관여
- 레지스트리 분석은 윈도우 시스템 분석에 있어 포렌식 필수 사항
포렌식 관점
운영체제 정보, 사용자 계정 정보, 시스템 정보, 응용프로그램 실행 흔적, 최근 접근 문서 등
자동 실행 항목, 악성코드 탐지
저장매체 사용 흔적 분석 (USB, 하드디스크 등)
활성화 시스템에서 레지스트리 분석은 레지스트리 편집기 (RegEdit.exe)를 이용
비활성화 시스템(복제/이미지 드라이브)에서의 레지스트리 분석은 하이브 파일을 수집하여 분석
하이브(Hive) 파일
- 레지스트리 정보를 저장하고 있는 물리적인 파일
- 키 값들을 논리적인 구조로 저장
- 활성화 시스템 커널에서 하이브 파일을 관리하여 일반적인 방법으로 접근 불가
- 대부분 포렌식 분석은 비활성화 시스템에서의 레지스트리 분석
하이브 리스트(Hivelist)
활성시스템의 레지스트리를 구성하는 하이브 파일 목록
HKLM\SYSTEM\CurrentControlSet\Control\hivelist
SAM, SECURITY, SYSTEM, SOFTWARE, Default, NTUSER.DAT, Usrclass.dat, BCD, COMPONENTS 등
| Registry Path | File Path |
|---|---|
| HKLM\System | %WINDIR%system32\config\SYSTEM |
| HKLM\SAM | %WINDIR%system32\config\SAM |
| HKLM\Security | %WINDIR%system32\config\SECURITY |
| HKLM\Software | %WINDIR%system32\config\SOFTWARE |
| HKEY_USERS\Default | %WINDIR%system32\config\DEFAULT |
| HKEY_USERS\User SID | 사용자 Profile (NTUSER.DAT) Users\User |
백업 및 로그 하이브
운영체제에 의해 하이브 파일은 백업되거나 관련 로그 생성
백업이나 로그 하이브 파일은 기존 하이브 파일의 일부 정보만 저장
로그 파일도 하이브 파일과 동일한 구조
백업 하이브 -> %SystemRoot%\System32\config\RegBack
로그 하이브 -> %SystemRoot%\System32\config {기본/백업하이브로그(.LOG, .LOG1, .LOG2)}