레지스트리
레지스트리는 윈도우 시스템에서 운영체제와 응용프로그램 운영에 필요한 정보를 저장한 데이터베이스를 말한다.
시스템 설치 및 사용 정보, 사용자 활동 정보, 응용 프로그램 사용 정보 등이 저장되기 때문에
레지스트리 분석은 윈도우 시스템 분석 포렌식에서는 필수이다.
시험에서는 레지스트리 분석을 해야 하는 실제 상황을 제시하는 문제와
하이브 파일의 서브키 내용을 물어보는 질문이 많이 출제된다.
하이브(Hive) 파일
Root key, Hive key 라고도 하며 윈도우 디스크에 존재하는 레지스트리가 저장되는 파일을 말한다.
하이브 파일의 분류
HKEY_CLASSES_ROOT = HKCR = 파일 확장자에 따라 사용하는 프로그램의 연결 정보
HKEY_CURRENT_USER = HKCU = 현재 시스템에 로그인한 사용자의 환경 정보. 윈도우가 설치된 컴퓨터 환경에 대한 정보.
HKEY_LOCAL_MACHINE = HKLM = 시스템 전체에 적용된 하드웨어, 소프트웨어 설정 및 기타 환경 정보
HKEY_USERS = HKU = 시스템의 모든 사용자와 그룹에 관한 프로파일 정보와 기본설정
HKEY_CURRENT_CONFIG = HKCC = 시스템 부팅 시 사용하는 하드웨어 프로파일 정보
HKEY_CURRENT_USER = HKCU의 서브키
AppEvents 윈도우와 프로그램이 사용하는 이벤트와 관련한 효과음 등을 정의
Console 명령 프롬프트(cmd.exe) 설정 정보
Control Panel 환경 설정 정보
Network 네트워크 드라이브 연결 정보
Printers 프린터 연결 정보
Software 현재 로그온한 사용자와 관련된 프로그램 정보
System 현재 로그온한 사용자와 관련된 운영체제에 대한 정보
HKEY_LOCAL_MACHINE = HKLM의 서브키
SOFTWARE 윈도우에 설치한 응용프로그램 정보
SECURITY 시스템의 보안과 권한 관련 정보
SYSTEM 부팅 및 부팅 후에 필요한 드라이버, 서비스, OS 설정 값
HARDWARE 부팅 시 감지한 하드웨어 목록과 드라이버 정보
SAM(Security Account Manager) 로컬 사용자나 그룹 계정 관리
해시 알고리즘 (Hash Algorithm)
임의이 길이를 가진 임의의 데이터를 입력받아 일정한 길이의 데이터로 변환하는 알고리즘.
예를 들어 어떤 숫자를 넣더라도 세 자리 숫자가 나오도록 만든 것도 해시 알고리즘의 일종이라고 볼 수 있다.
해시 알고리즘에서 입력 데이터 크기는 가변적이지만 결과 데이터 크기는 고정적이다.
이러한 특징으로 인해 해시는 디지털 지문, 디지털 DNA라고도 불리며 특정 파일을 식별할 수 있는 단서가 된다.
파일 이름과 확장자가 바뀌어도 찾을 수 있기 때문에 디지털 포렌식에서는 원본 데이터에 대한 이미지 파일의 무결성 증명에 사용한다.
1비트라도 입력 데이터가 변하면 해시값은 달라지지만
확장자, 파일 이름, 파일 수정시간은 해시와는 전혀 관계가 없다.
또한 해시는 찾고자 하는 파일을 신속하고 정확하게 찾거나
운영체제나 일반 프로그램 설치파일 등의 불필요한 파일을 조사 대상에서 신속하게 배제하도록 한다.
국가 표준 참조 데이터(Natuinal Software Reference Library, NSRL)은
미국의 NIST에서 추진하는 프로젝트의 결과물로 해시 분석에 유용하게 쓰인다.
이는 잘 알려진 파일들의 해시 값을 모아놓은 것으로 참조 데이터 셋이라고 부른다.
해시 컬럼의 종류와 의미
Hash Value
파일의 해시값. MD5, SHA1, SHA256 등 세 가지 해시 알고리즘을 통해 계산된 해시값을 보여줌
Hash Set
해시 값들의 집합. 알려진 해시값들을 불러올 때 사용함.
가장 작은 단위인 개개의 해쉬값들이 모여 이루어진 하나의 해쉬.
Hash Group
Hash Set을 분류해 검색 대상에서 제외할 그룹과 검색 대상에 포함할 그룹으로 분류함
시그니처
파일의 제일 앞 부분(Header) 또는 가장 마지막 부분(Footer)에 있는 파일 고유의 정보.
이를 이용해 파일 확장자와 상관없이 파일의 본래 형식을 알 수 있다.
시그니처 분석
시그니처 분석을 통해 확장자가 감춰지거나 일부러 바꿔 놓은 파일의 정체도 알 수 있다.
예를 들면 엑셀 파일을 그림파일로 바꿔 놓아도 이를 분석하는 것이 가능하다.
'자격증 공부노트 > 디지털 포렌식 전문가 2급' 카테고리의 다른 글
[디지털 포렌식 전문가] 6. 컴퓨터 구조와 디지털 저장매체 (2) | 2024.04.19 |
---|---|
[디지털 포렌식 전문가] 5. 디지털 포렌식 기초실무_디지털 포렌식 관련 법률 (0) | 2024.04.18 |
[디지털 포렌식 전문가] 4. 디지털 포렌식 기초실무_디지털 증거 분석 기술, 포렌식 도구 (0) | 2024.04.15 |
[디지털 포렌식 전문가] 2. 디지털 포렌식 기초실무_섹터와 클러스터 (0) | 2024.04.14 |
[디지털 포렌식 전문가] 1. 디지털 포렌식 개론 (0) | 2024.04.14 |