윈도우 레지스트리 분석-02
하이브 파일이란?
Registry hive
레지스트리 하이브는 루트키 아래의 서브키로부터 그 아래의 모든 서 브키를 포함하는 트리 구조를 레지스트리 하이브라고 한다.
hive file
레지스트리의 정보는 DISK에 존재하는 것이 아니라 memory 에 존재한다.
그렇다면 레지스트리 하이브 파일은 무엇이며 왜 존재 하는 것 일까?
Registry hive file 은registry 의 정보를 가지고 있는 물리적인 파일이며 일반적인 방법으로는 접근이 불가하다.
Registry 가 있는데 hive file이 왜 필요한가?
Registry 는 휘발성 이기때문에 컴퓨터를 재부팅하면 사라진다는 특징이 있다.
Live System이라면 바로 Memory dump를 수행하여 관련 정보를 확인할 수 있겠지만 만약 Live System이 아닌경우는 Registry의 관련 정보를 확인할 수 없으므로 Registry의 주요 정보가 저장된 hive file을 찾아 필요한 정보를 확인하는 것이다.
Hive file 종류
hive file은 %systemroot%system32\config\에 파일이 존재한다.
HKLM : SYSTEM. SOFTWARE, SECURITY, SAM
HKU : DEFAULT,SID
HKU의 DEFAULT는 HKLM의 하이브 파일위치와 동일하며 SID의 위치는 OS별로 다르다.(WINDOWS10은 NTUSER.DAT파일로 존재한다.)
hive file 수집 방법
레지스트리 하이브 파일은 파일시스템에서 사용중이기 때문에 일반적인 복사 붙여넣기로는 수집이 되지 않고 경로를 하나씩 찾아가며 수집하기에는 수고스럽기 때문에 별도의 프로그램을 사용하여 수집하는 것이 편리하다.
REGA Link : http://forensic.korea.ac.kr/tools.html
위의 그림처럼REGA를 사용하여 레지스트리를 추출하고 조사관, 사건번호, 사건내역을 적은후 레지스트리를 추출한 폴더를 지정하여 분석을 진행하면 끝나게 된다.
방금 사진의 분석시작을 누르면 조금의 시간이 흐른 뒤 수집이 완료된 것을 볼 수 있다.
분석이 완료되어 방금전 언급한 hive 파일이 보이게 된다.
부족한 점 있거나 잘못알고 있는 지식이 있다면 바로잡아주세요!
감사합니다.
