레지스터
레지스터는 운영체제와 응용프로그램 운영에 필요한 정보를 저장한 계층형 데이터베이스이다.
- 시스템 정보(systeminfo)
- 오토런(autorun)
- 로그인 시간정보
- 환경변수 설정정보
- 응용프로그램
- 저장, 열기 기능을 사용한 프로그램
- 저장 열기된 프로그램
- usb 흔적
- 마운트 된 기기들
- shellbags(사용자가 접근한 폴더 정보)
위와 같은 다양한 정보를 얻을 수 있다. 이에 대해서 추가적인 정보는 다음 아래의 사이트에서 확인할 수 있다.
http://www.forensic-artifact.com/registry-forensics/main
실습1(rega)
레가 다운로드: http://forensic.korea.ac.kr/tools.html
위에 링크를 읽어보면 알수 있다. 루트 키는 하이브 파일, 혹은 메모리에 휘발성으로 저장된다. 이중 하이브파일을 분석하여 위에서 언급한 다양한 정보를 파악할 수 있다.
아래는 레가를 통해서 수집한 하이브이다.
아래와 같은 정보를 확인할 수 있다.
REGA의 장점
- 보기 좋은 UI
REGA의 문제점
- log 파일들을 완벽히 구해내지 못한다. 하이브는 로그파일을 만든다. 거기에 존재하는 정보를 놓칠 수 있다.
- 또한 지원하지 않는 기능이 존재한다.
실습2
rla 다운로드 : https://ericzimmerman.github.io/#!index.md
ftk imager 통해서 필요한 파일들을 추출했다
sam, security, system과 같은 파일들은 windows/system32/config에 존재하였고
ntuser의 경우 user/사용자/ 에 존재하였다.
보면 알다싶이 하이브이외의 로그파일에도 산발적으로 분포한 기록을 rla을 통해서 통합해준다
이후 regripper을 통해서 하이브를 분석합니다.
포렌식을 공부하는 학생입니다.