레지스트리
- 시스템에서 사용하는 운영체제 내에서 작동하는 모든 프로그램의 시스템 정보를 담고있는 데이터베이스
- 커널과 같은 핵심 요소
- 휘발서 메모리
- 원래 윈도우에서 프로그램에 대한 구성 설정을 각 프로그램마다 .ini 파일을 사용했지만, 파일들이 시스템 여러 곳으로 퍼짐으로써 찾기가 쉽지 않아 레지스트리가 도입되었다.
레지스트리 하이브
- 루트키 아래 서브키로부터 그 아래 모든 서브키를 포함하는 트리 구조
- 레지스트리 정보를 갖고있는 물리적인 파일
- C:\Windows\System32\config 에 존재
루트키
레지스트리가 있는데 하이브 파일이 필요한 이유
- 레지스트리는 메모리에 존재. 휘발성이기 때문에 컴퓨터를 재부팅하면 사라진다.
- live system이라면 바로 메모리 덤프 떠서 관련 정보를 확인할 수 있지만
- live system이 아니라면 레지스트리의 관련 정보를 확인할 수 없으므로 레지스트리의 주요 정보가 저장된 하이브 파일을 찾아 필요한 정보를 확인하는 것이다.
윈도우 레지스트리 분석-02
하이브 파일이란?
medium.com
윈도우 레지스트리, 하이브 파일
레지스트리(Registry) 윈도우 레지스트리는 윈도우 운영체제에서 운영체제 및 프로그램 등에 필요한 정보들을 관리하기 위해 계층적으로 표현된 데이터베이스이다. 레지스트리는 윈도우 부팅 시
ohs-o.tistory.com
'정보보안 > forensic' 카테고리의 다른 글
| [NONamed] 유출된 자료 거래 사건 2 (0) | 2022.07.11 |
|---|---|
| [NONamed] 유출된 거래 자료 사건 1 (0) | 2022.07.11 |
| volatility 플러그인 정리 (0) | 2021.12.12 |
| Windows SAM SYSTEM 이해하기 (0) | 2021.11.15 |
| LNK 파일 분석 (0) | 2021.11.15 |
댓글