Windows Registry Analysis[1]

본 포스팅에서는 윈도우의 레지스트리에 대해서 다룹니다.

(도구 사용법 등과 같이 기초 지식은 본 포스팅에서 다루지 않습니다.)

윈도우의 레지스트리는 리눅스의 커널과 같이 중요 핵심 구성 요소입니다. 모든 정보가 레지스트리에 저장된다고 봐도 될만큼 윈도우 포렌식에 있어서 레지스트리만 분석을 잘하여도 원하는 증거를 채증할 수 있습니다. 물론 이는 해당 OS가 윈도우여야 한다는 가정입다. 본 포스팅에서는 윈도우 포렌식의 기본이 되는 레지스트리에 대해서 어떤 정보들을 채증하여 활용할 수 있는지에 대해서도 알아 보도록 하겠습니다.

1. 레지스트리 구성

레지스트리의 구성은 크게 5가지의 항목으로구성되어 있습니다.

(레지스트리 편집기를 통해 확인 할 수 있으며, Windows + R 을 누른 후 regedit을 입력하여 확인 할 수 있습니다.)

[regedit 실행 화면]

해당 레지스트리 구성은 아래와 같은 내용들을 저장 하고 있습니다,

■ HKEY_CLASS_ROOT : 파일 연관성과 COM객체 등록정보 저장

■ HKEY_LOCAL_MACHINE : 시스템의 H/W, S/W설정및 다양한 환경정보 저장

■ HKEY_CURRENT_USER : 현재 시스템에 로그인한 사용자의 사용자 프로파일 정보 저장

■ HKEY_USERS : 시스템의 모든 사용자와 그룹에 관한 프로파일 정보 저장

■ HKEY_CURRENT_CONFIG : 시스템이 시작할때 사용되는H/W프로파일 정보 저장

실제 포렌식 수행시 필요한 중요 레지스트리는 [HKEY_LOCAL_MACHINE]과 [HKEY_CURRENT_USER] / [HKEY_USERS] 가 됩니다. 해당 3개의 레지스트리에 사용자에 대한 아티팩트가 모두 기록이 됩니다.

그 중 [HKEY_LOCAL_MACHINE]은 아래와 같은 하이브 파일로 구성됩니다.

(하이브 파일(Hive File) : 정보를 담고있는 일종의 파일개념으로 이해하시면 됩니다.)

■ BCD00000000 : Boot Configuration Data 관리(XP의 boot.ini대체)

■ HARDWARE : 시스템 하드웨어 디스크립션과 모든 하드웨어 장치 드라이버 매핑정보

■ SAM : 로컬 계정 정보와 그룹 정보

■ SECURITY : 시스템 보안 정책과 권한 할당 정보

■ SOFTWARE : 시스템 부팅에 필요없는 시스템 전역 구성 정보

■ SYSTEM : 시스템 부팅에 필요한 전역 구성 정보

위 레지스트리 구성 하이브 파일 중 Boot(BCD00000000)파일과 HARDWARE를 제외한 파일들은 C:\Windows\System32\config 경로에 파일로 저장됩니다.

[HKEY_CURRENT_USER] / [HKEY_USERS]는 사용자의 최상위 디렉토리에 NTUSER.dat이라는 파일로 저장되어 있으며, 기본적으로 시스템 숨김속성 파일이며, 일반적으로는 사용자에게 보이지 않으므로 FTK Imager와 같이 도구를 이용해 확인 하여야 합니다.

또한 각각의 레지스트리 하이브 파일 목록을 확인 하기 위해서는 아래와 같은 레지스트리 경로에서 확인이 가능합니다.

■ HKLM\SYSTEM\CurrentControlSet\Control\Hivelist

2. 레지스트리 채증

윈도우에서의 레지스트리는 온라인상태(사용중인 상태)이므로 오프라인 상태로 채증이 가능합니다. 채증방법으로는 크게 2가지가 있으며, 디스크를 이미징 후 채증 하거나 도구를 이용해서 채증할 수 있습니다. 또한 온라인으로 분석시 REGA라는 도구를 통해 분석이 가능합니다.

레지스트리를 분석 하기 위해서는 SYSTEM, SAM, SECURITY, SOFTWARE, NTUSER.dat 파일이 필요합니다.

온라인 상태로 현재PC의 레지스트리를 분석하기 위해서는 REGA 도구를 실행 후 아래 화면과 같이 레지스트리 수집이 가능합니다.

[파일 > 레지스트리 파일 수집 > 현재 시스템 레지스트리 수집] 

오프라인 방법으로 채증을 시도할 경우 아래 와 같이 확인 할 수 있습니다.

[C:\Windows\System32\config에 저장된 하이브 파일 목록을 FTK Imager를 통해 추출]

[사용자의 NTUSER.dat 추출]

5개의 하이브 파일이 추출이 끝나면 REGA 도구를 이용하여 레지스트리 분석을 할 수 있습니다.

[오프라인 레지스트리 하이브 파일 분석]

[추출된 폴더 지정을 통해 분석]

이렇게 하여 레지스트리 추출을 통해 분석할 수 있는 방법에 대해서 알아 보았습니다.

다음 포스팅에는 레지스트리에서 추출 가능한 정보들에 대해서 알보도록 하겠습니다.