Forensic Artifacts
-
Windows Registry
Registry Artifacts
레지스트리 구성
- 레지스트리는 하위 트리와 해당 키, 하위 키 및 항목의 계층 구조로 구성
- 키는 하위 키를 가질 수 있고 하위 키 역시 차례로 하위 키 구성 가능
- 대부분 레지스트리 정보는 디스크에 저장되지만 일부 정보는 휘발성 키에 저장
레지스트리 루트키
윈도우 운영체제에는 HKEY_LOCAL_MACHINE 및 HKEY_USERS라는 두 개의 레지스트리 트리가 존재
레지스트리 정보를 쉽게 찾기 위해 레지스트리 편집기에 다섯 개의 하위 트리로 표시
나머지 HKEY_CLASSES_ROOT, HKEY_CURRNET_USER, HKEY_CURRENT_CONFIG 세 개의 트리는 다른 부분의 별칭
Master Key - HKEY_LOCAL_MACHINE, HKEY_USERS
Derived Key - HKET_CLASSES_ROOT, HKEY_CURRNET_USER, CURRNET_CONFIG
1. HKEY_CLASSES_ROOT
- 파일 연관성과 COM(Component Object Model) 객체 등록 정보2. HKEY_CURRNET_USER
- 현재 시스템에 로그인된 사용자의 사용자 프로파일 정보3. HKEY_LOCAL_MACHINE
- 시스템의 하드웨어, 소프트웨어 설정 및 다양한 환경 정보4. HKEY_USERS
- 시스템의 모든 사용자와 그룹에 관한 프로파일 정보5. HKEY_CURRNET_CONFIG
- 시스템이 시작할 때 사용되는 하드웨어 프로파일 정보
| Root Keys | 설명 |
|---|---|
| HKEY_CLASSES_ROOT (HKCR) | HKLM\SOFTWARE\Classes와 HKU\<SID>\Classes 모음 |
| HKEY_CURRNET_USER (HKCU) | HKU 아래 사용자 프로파일 중 현재 로그인한 사용자의 하위 키 |
| HKEY_LOCAL_MACHINE (HKLM) | 시스템에 존재하는 하이브 파일과 메모리 하이브 모음 |
| HKEY_USERS (HKU) | 로그온 계정의 사용자 프로파일 hive를 담고 있는 장(NTUSER.DAT) |
| HKEY_CURRNET_CONFIG (HKCC) | 현재 하드웨어 정보(Profile)를 가지고 있는 키 HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current의 내용 |
1. HKEY_CLASSES_ROOT
- 파일 연관성과 COM(Component Object Model) 객체 등록 정보
- 파일 확장자 연결 키
- 별도의 하이브를 가지지 않고 다른 루트키의 하위키로 구성
HKLM\SOFTWARE\Classes + HKU\SID_Classes
2. HKEY_CURRENT_USER
- 현재 시스템에 로그인 된 사용자의 사용자 프로파일 정보
- HKU\<USER SID> 참조
HKEY_CURRENT_USER 하위 키 설명
| 하위 키 | 설명 |
|---|---|
| AppEvents | 사운드, 이벤트 관련 키 |
| CLSID | COM 객체 연결 정보 |
| Console | 명령 프롬프트 윈도우 설정 정보 (가로, 세로 크기, 색상 등) |
| ControlPanel | 데스크탑 테마, 키보드/마우스 세팅 등의 환경 설정 정보 |
| Environment | 환경 변수 정의 |
| EUDC | 최종 사용자가 정의한 문자 정보 |
| Identities | 윈도우 메일 계정 정보 |
| Keyboard Layout | 키보드 레이아웃 설정 정보 |
| Network | 네트워크 드라이브 매핑 정보, 환경 설정 값 |
| Printers | 프린트 연결 설정 |
| Session Information | 작업표시줄에 표시되는 현재 실행되는 프로그램 설정 |
| Software | 로그인한 사용자 소프트웨어 목록 |
| System | HKLM/SYSTEM 하위 키의 일부 (Control, Polices, Services) |
| UNICODE Program Groups | 로그인 한 사용자 시작 메뉴 그룹 정의 |
| Volatile Environment | 휘발성 환경 변수 |
3. HKEY_LOCAL_MACHINE
- 시스템의 하드웨어, 소프트웨어 설정 및 다양한 환경 정보
- System 및 Memory Hive 모음
HKEY_LOCAL_MACHINE 하위 키 설명
| 하위 키 | 설명 |
|---|---|
| BCD00000000 | Boot Configuration Data 관리 |
| COMPONENTS | 설치된 Components와 관련된 정보 관리 |
| HARDWARE | 시스템 하드웨어 설계와 모든 하드웨어의 장치 드라이버 매핑 정보 |
| SAM | 로컬 계정 정보와 그룹 정보 (시스템 계정만 접근) |
| SECURITY | 시스템 보안 정책과 권한 할당 정보 (시스템 계정만 접근) |
| SOFTWARE | 시스템 부팅에 필요없는 시스템 전역 구성 정보 (소프트웨어 정보) |
| SYSTEM | 시스템 부팅에 필요한 시스템 전역 구성 정보 |
- HKLM\SYSTEM\ControlSet00x
- 디바이스 드라이버와 서비스 등의 시스템 환경 설정 정보
- ControlSet00n에 대한 링크는 Select 키의 Current 값에 따라 현재 사용 중인 ControlSet 확인
4. HKEY_USERS
- 시스템의 모든 사용자와 그룹에 관한 프로파일 정보
- 사용자 Hive 파일 (NTUSER.DAT)
HKEY_USERS 하위 키 설명
| 하위 키 | 하이브 파일 위치 |
|---|---|
| HKU\<LocalServices SID> | %SystemRoot%\ServiceProfiles\LocalService\NTUSER.DAT |
| HKU\<NetworkServices SID> | %SystemRoot%\ServiceProfiles\NetworkService\NTUSER.DAT |
| HKU\<User SID> | %UserProfile%\NTUSER.DAT |
| HKU\<User SID>_Classes | %UserProfile%\AppData\Local\Microsoft\Windows\UsrClass.dat |
| HKU\.DEFAULT | %SystemRoot%\System32\Config\DEFAULT |
5. HKEY_CURRENT_CONFIG
- 시스템이 시작할 때 사용되는 하드웨어 프로파일 정보
- 별도의 하이브 파일을 가지지 않고 HKLM\SYSTEM\CurrentControlSet\HardwareProfiles\Currnet를 참조
