Task 2. Windows Registry and Forensics
레지스트리:
windows 레지스트리 = key(폴더) + value(키에 저장된 데이터)
윈도우 시스템 레지스트리는 아래 5개 root key가 존재
- HKEY_CURRENT_USER : HKCU라고 함. 사용자의 폴더, 화면 색상, 제어판 설정 등…
- HKEY_USERS : HKU라고 함. 로드된 모든 사용자 프로필 정보, 위 current_user가 해당 키의 하위 키
- HKEY_LOCAL_MACHINE : HKLM이라 함. 컴퓨터 관련 구성 정보
- HKEY_CLASSES_ROOT : HKCR이라 함. HKEY_LOCAL_MACHINE\Software의 하위 키.
- HEKY_CURRENT_CONFIG : 시스템 시작 시 로컬 컴퓨터에서 사용되는 하드웨어 관련 정보
Task 3. Accessing registry hives offline
regedit.exe 말고 디스크에서 레지스트리에 접근하는 방법 -> C:\Windows\System32\Config
- DEFAULT -> HKEY_USERS\DEFAULT
- SAM -> HKEY_LOCAL_MACHINE\SAM
- SECURITY -> HKEY_LOCAL_MACHINE\Security
- SOFTWARE -> HKEY_LOCAL_MACHINE\Software
- SYSTEM -> HKEY_LOCAL_MACHINE\System
이외에 사용자 정보가 포함된 hive..
C:\Users<username>\ 에서
- AppData\Local\Microsoft\Windows로 가면, USRCLASS.DAT -> HKEY_CURRENT_USER\Software\CLASSES
- NTUSER.DAT -> HKEY_CURRENT_USER
C:\Windows\AppCompat\Programs\Amcache.hve : 최근에 실행된 프로그램 관한 정보
