Registry, Hive File
디스크 분석 과정에서 레지스트리 분석은 사용자가 시스템에서 어떤 활동을 했는지 매우 다양한 정보를 확인할 수 있기 때문에 중요한 과정으로 여겨진다. Registry는 사용자의 행동과 사용자 정보를 저장하는 계층형 데이터 베이스이다. Registry는 Hive File로 관리된다. Hive File은 레지스트리 데이터 베이스 정보(키 값)들을 논리적인 구조로 저장하는 파일이다.
Extract Hive File
레지스트리 분석을 수행할 때, 대상 디스크가 이미지 파일인 경우 이를 '비활성화 상태'로 지칭하며, 분석을 시작하기 전에 먼저 하이브 파일을 추출하는 과정이 필요하다. 이러한 이유로 디스크 이미지파일에서 하이브 파일을 추출 할 줄 알아야한다. REGA에서 하이브 파일 추출 도구를 지원하지만 이는 활성화 상태의 PC만 가능하며, FTK Imager에서 지원하는 'Obtain Protected File'은 사용자 계정 정보를 하나의 디렉터리에 담지 못하는 단점이있다. 따라서 REGA 분석을 위해 REGA에서 지원하는 파일들을 따로 수동 추출하는 방법을 알야한다.
추출에 필요한 파일은 SAM, SECURITY, SOFTWARE, SYSTEM, [User Name].NTUSER.DAT, [User Name].UsrClass.dat이 있다. 추출한 파일 중 User 관련 파일은 이름의 처음을 '[User Name].' 형태로 이름을 저장해야한다. 아래는 각 파일의 경로이다.
| Registry Location | Hive File Location |
| HKEY_LOCAL_MACHINE\SAM | %systemroot%\system32\config\SAM |
| HKEY_LOCAL_MACHINE\SECURITY | %systemroot%\system32\config\SECURITY |
| HKEY_LOCAL_MACHINE\SOFTWARE | %systemroot%\system32\config\SOFTWARE |
| HKEY_LOCAL_MACHINE\SYSTEM | %systemroot%\system32\config\SYSTEM |
| HKEY_USER\(user SID) | %userprofile%\NTUSER.DAT |
| HKEY_USER\(user SID)_Classes | %userprofile%\AppData\Local\Microsoft\Windows\UsrClass.dat |
REGA Analysis
추출된 파일을 특정 디렉터리에 모아 저장하고, 해당 디렉터리를 REGA에 업로드하면 레지스트리 분석이 가능하다. 아래는 REGA에 업로드한 파일이 모두 정상적으로 인식된 모습과 분석이 완료된 모습이다.
Registry
레지스트리는 Root Key, Value, Data Type, Data로 구성된다. 윈도우 운영체제는 레지스트리 정보 검색을 용이하게 하기 위해 레지스트리 편집기에서는 다섯 개의 하위 트리로 표시된다. 이 중 HKEY_LOCAL_MACHINE, HKEY_USERS는 루트 키로 Master Key라고 불리며 나머지 HKEY_CLASSES_ROOT, HKEY_CURRENT_USER, HKEY_CURRENT_CONFIG는 Derived Key라고 불린다.
루트 키의 세부 정보를 정리한 표와 실제 모습이다.
| Root Key | Info |
| HKEY_CLASSES_ROOT (HKCR) | 파일 연관성과 COM(Component Object Model) 객체 등록 정보 |
| HKEY_CURRENT_USER (HKCU) | 사용자 프로파일 중 현재 로그인한 사용자의 하위 키로, 현재 시스템에 로그인된 사용자의 사용자 프로파일 정보 |
| HKEY_LOCAL_MACHINE (HKLM) | 시스템에 존재하는 하이브 파일과 메모리 하이브의 모음으로, 시스템의 하드웨어, 소프트웨어 설정 및 다양한 환경 정보 |
| HKEY_USERS (HKU) | 로그온 계정의 사용자 프로파일 하이브(NTUSER.DAT)를 포함하며, 시스템의 모든 사용자와 그룹에 대한 프로파일 정보 |
| HKEY_CURRENT_CONFIG (HKCC) | 현재 하드웨어 프로필 정보를 포함하며, 시스템이 시작할 때 사용되는 하드웨어 프로필 정보 |
Reference