본문 바로가기
보안

[포렌식] 레지스트리 증거 수집 및 분석

삐라리로 2019. 5. 21. 10:02

HKEY_CLASSER_ROOT : 각 프로그램간의 연결 정보가 들어있다.

예로 내가 mp4 를 더블클릭한다면 윈도우 는 이걸실행시키기위해 특정 미디어 프로그램을 실행시켜서 연결시켜주는데

이로한 맵핑정보가 여기에 들어있다 , 확장자 정보가 들어있다.

HKEY_CURRENT_USER : 현재 로그인한 사용자 의 정보가 들어있다.

HKEY_LOCAL_MACHINE : 전체 사용자에 대한 정보가 들어있다.

,하드웨어 구성 초기화 파일 ,사용중인 하드웨어 및 소프트웨어에 대한 정보

HKEY_USERS : 이전 사용자에 대한 초기화 파일 보관

HKEY_CURRENT_CONFIG : 디스플레이 , 해상도 ,바탕화면 등의 정보가 들어있다.

MRU

가장 최근에 사용된 파일 , 프로그램 등에 대한 정보 목록을 말하며 일부 정보들이 Registry 에 기록

HKCU\Software\Microsoft\Wondows\CurrentVersion\Explorer\ComDig32\OpenSaveMRU

- 최근 open 되거나 save 된 파일 목록을 기록 유지

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU

- 최근 사용된 실행 프로그램의 파일명과 open/svae한 파일이 존재하는 폴더 path로 이루어진다.

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

-

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

- 이 키는 [시작] -> [실행] 을 선택하여 실행된 명령어(예 : cmd , regedit등) 의 목록을 유지한다.

HKCU \Software\Microsoft\SearchAssistant\ACMru

-최근 검색한 내용을 포함하고있다.

Autorun Location

windows 시스템이 시작 되는 동안 프로그램을 실행시키기위한 Registry key

HKLM\ SOFTWARE \Microsoft\Windows\CurrentVersion\Run

-windows 가 구동되면서 실행되어야하는 프로그램 목록 기록

-windows 가 구동되면 항상 실행된다.

(시작프로그램)

HKLM\ SOFTWARE \Microsoft\Windows\CurrentVersion\RunOnce(Ex)

-windows 가 구동되면서 실행되어야하는 프로그램 목록 기록

-windows 가 구동되면 1회 실행되며 1회 실행되고 나서 해당항목이 Registry에서 삭제된다.

(드라이버처럼 한번 실행만하면 되는 것들...)

HKLM\ SOFTWARE \Microsoft\Windows\CurrentVersion\RunServices

-windows 가 구동되면서 실행되어야 하는 서비스 형태의 프로그램 목록 기록

-windows가 구동 되면 항상 실행된다.

HKLM\ SOFTWARE \Microsoft\Windows\CurrentVersion\RunServicesOnce

-windows 가 구동되면서 실행되어야 하는 서비스 형태의 프로그램 목록 기록

-windows가 구동 되면 1회실행되고 해당 항목이 삭제된다.

Device 관련

HKLM\SYSTEM\ControlSet00x\Enum\USBSTOR

-USB 장치 정보 저장

-Unique instance ID: USB 장치의 Unique ID 로서 동일 Device Class ID 를 갖더라도 장치 별로 구별된다.

-HKLM\SYSTEM\MountedDevices를 참조하여 어떤 USB 장치가 어떤 드라이브(C:, D: etc…)에 mount되어 있는지 확인할수있다

HKLM\SYSTEM\MountedDevices

-NTFS 파일 시스템에 의해서 사용된 mount된 volume목록을 유지

USB 저장 장치 사용자 식별

HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices

시스템에 등록된 사용자가 많은경우 해당 USB를 사용한 사용자 계정을 찾을수있다 .

마지막 부팅후 최초 USB 연결시간 식별

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses\드라이버GUID

(예 :{53f56307-b6bf-11d0-94f2-00a0c91efb8b} )

기타

Shell\open\command

특정 확장자를 갖는 파일이 open될때 Defaulr로 수행하는 명령어 저장.

 

'보안' 카테고리의 다른 글

[포렌식 도구] IECacheView(임시 인터넷 파일)  (0) 2019.05.21
[포렌식 도구] BrowsingHistoryView(브라우저에 대한 히스토리)  (0) 2019.05.21
EProcess 란  (0) 2019.05.21
[포렌식] Windows Artifact 분석  (1) 2019.05.21
실시간 대응 키워드  (0) 2019.05.21

'보안' Related Articles

티스토리툴바