Forensic Artifacts
-
Windows Registry
Registry Artifacts
Services
Services/Drivers
- 서비스 및 드라이버 목록
- HKLM\SYSTEM\ControlSetx\Services\{sub folder}
- 작업 관리자의 서비스 목록
- “driverquery” 명령으로 확인 가능한 드라이버 목록
- HKLM\SYSTEM\ControlSetx\Services\{sub folder} 세부 키 “Type” 값에 따라 특성 정의
| Type Data | Description |
|---|---|
| 0x01 | 커널 장치 드라이버 |
| 0x02 | 파일시스템 드라이버 |
| 0x04 | 어댑터에 대한 인수 집합 |
| 0x10 | 서비스 컨트롤러에 의해 시작되는 Win32 프로그램 |
| 0x20 | 다른 Win32 서비스 프로세스와 공유 가능한 Win32 서비스 |
Services/Driver
MiTeC Windows Registry Recovery 분석
- 실제 레지스트리 경로를 찾아가 서비스 및 드라이버 목록 확인
- 실제 레지스트리 경로를 찾아가지 않고 서비스 정보 확인 가능
- 실제 레지스트리 경로를 찾아가지 않고 드라이버 정보 확인 가능
- ServiWin 프로그램을 활용하여 서비스 및 드라이버 정보 확인
- 파란색: 시작된 모든 서비스/드라이버, 빨간색: 비활성화 된 서비스/드라이버
- 파란색: 시작된 모든 서비스/드라이버, 빨간색: 비활성화된 서비스/드라이버
