레지스트리 (Registry)
윈도우 운영체제와 응용프로그램 구도에 필요한 정보를 저장하는 계층형 데이터베이스
윈도우 레지스트리
1절
하이브 (Hive)
최상위 폴더에 해당되는 부분 – 루트키 하위 폴더에 해당 되는 부분 – 서브키 각 키마다 파일에 해당되는 값 – 값 (Value)
윈도우 레지스트리
1절
하이브 파일 : 레지스트리의 물리적인 파일들
대표적인 파일
SAM, SECURITY, SYSTEM, SOFTWARE, NTUSER.DAT, USRCLASS.DAT, BCD, COMPONENTS
위 파일들이 하나의 세트를 구성하여 윈도우 레지스트리가 구성된다.
※ 하이브 파일의 경로는 각자 책에서 확인가능함
윈도우 레지스트리
1절
레지스트리로부터 시스템 사용에 관한 다양한 정보를 획득할 수 있다
1) 시스템 기본 정보
레지스트리 포렌식 분석
1절
정보 경로
시스템 기본 정보 HKLM\SOFTWARE\Microsoft\Windows NT
\Current Version
컴퓨터 이름 HKLM\SYSTEM\ControlSet00X\Control
\ComputerName\ComputerName 마지막으로 시스템을 종료한 시간 HKLM\SYSTEM\ControlSet00X\Control
\Windows의 ShutdownTime
표준 시간대 설정과 날짜/시간 변경 정보 HKLM\SYSTEM\ControlSet00X\Control
\TimeZoneInformation
2) 자동 실행 목록 및 시작 프로그램
윈도우 시스템은 사용자 로그온 시 HKCU 키에 존재하는 실행항목들을 차례대로 실행다.
레지스트리 포렌식 분석
1절
정보 경로
자동실행 항목 HKU\User\SOFTWARE\Microsoft\Windows\Current Version
\Run, RunOnce, RunOnceEx
HKU\User\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Run HKU\SOFTWARE\Microsoft\Windows\Current Version
\Run, RunOnce, RunOnceEx
그 외 기록들은 각자 책으로 한번씩 읽어봅시다!
(기출문제에서 찾아본 결과, 자세한 경로에 대한 문제는 없었음)
레지스트리 포렌식 분석
1절
1) 이벤트 로그
윈도우 운영체제는 시스템을 구동하면서 발생한 각종 이벤트를 이벤트 로그에 저장된다.
이벤트 로그는 사용자의 시스템 사용 행위를 분석하는데 활용됨.
윈도우 아티팩트
2절
응용프로그램 이벤트 : 응용 프로그램이나 기타 프로그램의 동작에 대한 이벤트
보안로그 : 유효하거나 유효하지 않은 로그온 시도, 파일의 생성/열람/삭제에 관련된 이벤트 시스템 로그 : 시스템 부팅 등 윈도우 시스템의 구성요소와 관련된 오류 이벤트
이벤트 로그의 경로: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\EverLog\이벤트로그종류
.evt 또는 .evts 확장자명을 가진다.
윈도우 아티팩트
2절
윈도우 아티팩트
2절
이벤트가 일어난 프로세스
이벤트 정보의 종류
오류 – 데이터 손실과 같은 중대한 문제로 시스템을 시작하는 동안 서비스가 로드되지 못했을 경우 경고 – 시스템에 문제가 발생할 수 있는 문제를 미리 알려주는 이벤트 기록
정보 – 응용 프로그램, 드라이버, 서비스가 성공적으로 수행되었음을 설명하는 이벤트
감사성공 – 사용자가 시스템에 성공적으로 로그온 했을 경우와 같이 보안 이벤트의 성공 여부를 출력 감사실패 – 사용자가 시스템에 로그온에 실패했을 경우와 같은 이벤트의 성공여부를 출력
윈도우 아티팩트
2절
이벤트 ID
528, 4642 – 로그온 성공 538, 4634 – 로그오프 성공
529 – 알 수 없는 계정이나 잘못된 암호를 이용한 로그인 시도 514 – LSA 인증 패키지 로드
516 – 저장 공간의 부족으로 인해 보안 이벤트 메시지 손실 6005 – 이벤트 시작
6006 – 이벤트 종료
윈도우 아티팩트
2절
프리패치(Pre Fetch)
프로그램의 실행 속도를 향상시키기 위해 윈도우에서 제공하는 기능
Pf 확장자를 가지며, 시스템 부팅 과정 및 응용 프로그램 실행과정이 기록되어 있는 로그
슈퍼패치(Super Fetch) 프리패치와 비슷하지만,
사용자가 해당 프로그램을 얼마나 자주, 언제, 얼마동안 사용하는지에 대한 사용 패턴을 기록한 뒤 메모리에 로드해두는 것을 목적으로 하는 기능
윈도우 아티팩트
2절
웹 브라우저는 대부분의 인터넷 사용 내역을 웹 브라우저 로그 파일에 기록한다.
로그파일에서 중요한 정보는 Cache, History, Cookie, Download, Session 정보 등이 있다.
웹 브라우저
3절
1) Cache 정보
웹 사이트를 접속할 때, 방문 사이트로부터 자동으로 웹 페이지 데이터를 다운 받는 것 즉, 해당 사이트를 재접속 할 때, 다운 받은 데이터를 사용하게 함으로써 속도를 증진시킨다.
다운로드 URL, 다운로드 시간, Cache 데이터 파일명, Cache 데이터의 크기 및 위치 등이 인덱스 정보에 기록된다.
웹 브라우저 -캐시
3절
2) History 정보
사용자가 방문한 웹사이트 접속 내역
방문 사이트 URL, 방문 시간, 방문 횟수, 웹 페이지 제목 등의 정보를 포함
웹 브라우저 -히스토리
3절
2) Cookie
웹 사이트가 사용자별로 개인화된 서비스를 제공하기 위해 사용자의 컴퓨터에 저장하는 데이터 쿠키정보 : 호스트, 경로, 쿠키, 수정시간, 쿠키 만료시간, 변수 명, 변수 값 등
웹 브라우저 -쿠키
3절
호스트 -> 접속한 사이트 경로 -> 사용한 서비스 종류
쿠키 수정 시간 -> 해당 사이트의 마지막 접속 시간 변수와 변수 값 -> 로그인 아이디
분석을 통해 중요한 정보를 획득할 수도 있음.
웹 브라우저 -쿠키
3절
3) Download List 정보
사용자가 의도적으로 선택해서 자신의 컴퓨터에 내려 받은 파일에 대한 정보
다운로드 파일의 로컬 저장경로, 다운로드 소스 URL, 다운로드 파일 크기, 다운로드 시간 등의 정보 저장
웹 브라우저
3절
Cache는 자동으로 정보 기록
4) Session정보
이전 세션을 복구하기 위해 사용자 컴퓨터에 저장되는 정보
웹 브라우저
3절
다음은 웹 브라우저에 관한 설명이다. 보기의 괄호 안에 알맞은 용어는 무엇인가?
문제
웹 브라우저는 인터넷 사용 내역을 웹 브라우저의 생성 파일에 기록한다.
(______)의 분석을 통해 특정 사이트에 접속한 사용자의 아이디 또는 패스워드에 관한 정보를 얻을 수 있다.
가. 웹 히스토리 나. 쿠키
다. 임시 인터넷 파일 라. Index.dat 파일
나. 쿠키 – 변수와 변수 값의 분석을 통해 아이디와 패스워드 정보를 찾을 수 있음
