Forensic/Registry

1. 레지스트리를 활용한 악성코드 탐지1.1 분석의 필요성악성코드는 레지스트리를 조작하여 자동 실행, 프로세스 은폐, 시스템 설정 변경 등의 행위를 수행포렌식 분석에서는 레지스트리 키를 활용하여 악성코드의 실행 흔적 및 지속성 기법을 분석 가능주요 분석 대상은 자동 실행 프로그램, 서비스, 원격 접속 도구(RAT), 네트워크 연결 정보 등1.2 악성코드 탐지 대상 키자동 실행 프로그램: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run윈도우 서비스: HKLM\SYSTEM\CurrentControlSet\Services네트워크 연결 정보: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters최근 실행된 프로그램 기록: ..

1. 레지스트리를 활용한 시스템 및 사용자 분석1.1 분석의 필요성레지스트리는 운영체제와 사용자 활동을 기록하는 중요한 데이터 저장소포렌식 분석에서는 레지스트리를 활용하여 컴퓨터 사용 기록, 로그인 정보, 실행된 프로그램 등을 확인 가능주요 분석 대상은 운영체제 설정, 사용자 계정 정보, 네트워크 연결 기록, 최근 실행 프로그램 등1.2 주요 분석 키시스템 정보: 운영체제 버전, 설치 날짜, 컴퓨터 이름사용자 계정 정보: 로그인 기록, 사용자 프로필네트워크 연결 정보: IP 주소, 무선 네트워크 접속 이력프로그램 실행 기록: 자동 실행 프로그램, 최근 실행된 파일 2. 시스템 기본 정보 분석2.1 운영체제 및 설치 정보운영체제 버전 및 설치 날짜HKLM\SOFTWARE\Microsoft\Windows N..

1. 레지스트리 데이터 수집 개요1.1 필요성레지스트리는 윈도우 운영체제에서 시스템 및 사용자 활동의 핵심 정보를 저장하는 공간포렌식 분석에서는 레지스트리를 수집하여 사용자의 활동 기록, 악성코드 실행 여부, 네트워크 연결 정보 등을 분석 가능레지스트리 데이터는 운영체제 동작 중 보호되어 있어 일반적인 파일 복사 방법으로 직접 접근 및 복사가 불가능1.2 고려 사항데이터 무결성 유지: 원본 파일을 수정하지 않고 수집해야 함로그 파일 포함: .LOG1, .LOG2 파일을 함께 수집하여 변경 내역 분석하이브 파일 보호: 운영체제가 실행 중인 상태에서는 하이브 파일이 잠겨 있으므로 우회 방법 필요 2. 레지스트리 데이터 수집 방법FTK Imager를 활용하여 활성 상태의 운영체제에서 특정 파일을 추출 가능수집..

1. 레지스트리 개요레지스트리(Registry)윈도우에서 행해지는 대부분의 작업을 위해 중요한 정보 값을 저장하고 참고하는 공간하나의 파일 시스템처럼 체계적으로 모든 정보를 하나의 저장소에 저장하여 관리운영체제 내에서 작동하는 모든 하드웨어, 소프트웨어, 사용자 정보 및 시스템 구성 요소 등을 담고 있는 데이터베이스(계층 구조)생성 배경초창기 윈도우 : 초기화 파일(.ini)로 각 프로그램이나 운영체제의 설정 정보를 개별적으로 저장 → 시스템 구성이 복잡/많은 애플리케이션 → 시스템 및 사용자에게 심한 부하 → 레지스트리 도입Registry Editor UtilityHive 파일(바이너리)는 접근이 불가하기 때문에 레지스트리 편집기로 맵핑해서 보여줌레지스트리 편집기regedit.exe주로 검색 기능윈도우..