[정보보안기사/윈도우] 레지스트리 /이벤트

한국어

<h2 id="레지스트리registry">레지스트리(Registry)</h2> <p>윈도우 레지스트리는 마이크로소프트 윈도우 운영체제에서 운영체제 및 응용 프로그램 등에 필요한 <strong>정보를 저장하고 관리하기 위한 계층형 데이터베이스</strong>이다. 레지스트리는 윈도우 부팅 시 로그인, 서비스 실행, 응용 프로그램 실행, 사용자의 행위에 관한 모든 활동에 참여하고 그 <strong>정보를 기록 및 관리</strong>하는 것으로 윈도우 Me, XP, 2003, 7, 8, 10 모두 사용된다.</p> <p>윈도우 레지스트리 정보를 확인하는 방법은 regedit.exe 라는 레지스트리 관리 프로그램을 실행하면 된다.</p> <p>윈도우 레지스트리는 <strong>계층형 데이터베이스로 Key, Value, Data Type, Data</strong>로 이루어져 있다. 키는 상위 레벨에서 하위 레벨 구조로 정의되어 있으며 레지스트리가 어떤 정보를 가지고 있는지 나타낸다.</p> <p>해당 키에는 Value와 Data Type, Data로 되어 있어서 Key에 대한 Value와 Value의 데이터 형태가 문자 혹은 숫자인지 등의 데이터 타입이 정의되고 마지막에는 해당 Value가 가지고 있는 데이터를 나타낸다.</p> <p>윈도우 레지스트리 키 중에서 가장 상위 레벨에 있는 레지스트리 키를 <strong>루트 키(Root Key)</strong>라고 하는데 하위에 있는 레지스트리들에 어떤 정보가 있는지 알려주는 것으로 <strong>레지스트리 정보를 일정한 기준으로 분류</strong>한다.</p> <p><strong>루트키 역할</strong></p> <ul> <li><strong>HKEY_CLASSES_ROOT</strong> : 파일의 각 <strong>확장자</strong>에 대한 정보와 파일과 <strong>프로그램 간의 연결</strong>에 대한 정보</li> <li><strong>HKEY_LOCAL_MACHINE</strong> : 설치된 <strong>하드웨어와 소프트웨어 설치</strong> 드라이버 설정에 대한 정보</li> <li><strong>HKEY_USERS</strong> : 사용자에 대한 정보</li> <li><strong>HKEY_CURRENT_CONFIG</strong> : <strong>디스플레이 설정</strong>과 <strong>프린트 설정</strong>에 관한 정보</li> </ul> <p><strong>주요 레지스트리 키</strong></p> <ul> <li><strong>윈도우 버전 정보</strong><br /> HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion</li> <li><strong>컴퓨터 이름</strong> HKLM\SYSTEM\ControlSet00X\Control\ComputerName<br /> \ActiveComputerName</li> <li><strong>시작 프로그램 관련</strong> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows<br /> \CurrentVersion\<strong>Run</strong>,<strong>RunOnce</strong>,<strong>RunServices</strong>,<strong>RunServicesOnce</strong><br /> HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows<br /> \CurrentVersion\<strong>Run</strong>,<strong>RunOnce</strong>,<strong>RunServices</strong></li> <li><strong>최근에 실행한 명령어 확인</strong><br /> HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion<br /> \Explorer\RunMRU</li> </ul> <h2 id="하이브hive">하이브(Hive)</h2> <p><span style="color:orangered">하이브 파일</span>은 <strong>레지스트 정보를 가지고 있는 물리적인 파일을 의미</strong>한다. 윈도우 레지스트 프로그램(regedit.exe)은 하이브 파일을 읽어서 보여주거나 변경하는 것으로 <strong>레지스트와 관련된 모든 정보는 하이브 파일에 저장</strong>되어 있다.</p> <p>하이브 파일은 일반적인 에디터로 변경하는 것은 불가능하고 <strong>커널에 의해</strong>서 관리되며 <strong>SAM, SECURITY, SYSTEM, SOFTWARE, Default, NTUSER.DAT 등에 존재</strong>한다. 이러한 하이브 파일의 목록을 하이브 셋이라고 한다.</p> <ul> <li><strong>SYSTEM</strong> : <strong>시스템 부팅</strong>에 필요한 시스템 전역 구성정보를 가지고 있다</li> <li><strong>SOFTWARE</strong> : 시스템 부팅에 필요없는 시스템 전역 구성정보로 소프트웨어 정보를 가지고 있다</li> <li><strong>SECURITY</strong> : 시스템 보안정책과 권한 할당 정보로 <strong>시스템 계정만 접근</strong>이 가능하다</li> <li><strong>SAM</strong> : <strong>로컬 계정 정보와 그룹정보</strong>로 <strong>시스템 계정만 접근</strong> 가능</li> <li><strong>HARDWARE</strong> : 시스템 하드웨어 디스크립션과 모든 하드웨어의 장치 드라이버 매핑 정보를 가지고 있다</li> <li><strong>COMPONENTS</strong> : 설치된 컴포넌트와 관련된 정보 관리</li> <li><strong>BCD00000000</strong> : 부팅 환경 데이터를 관리하는 것은 과거 <strong>윈도우 XP의 Boot.ini가 없어지고 대체</strong>되었다.</li> </ul> <p>윈도우에서 하이브 파일은 <strong>C:\windows\system32\config</strong> 디렉터리에 존재한다. 해당 디렉터리에는 <code class="language-plaintext highlighter-rouge">RegBack</code>이라는 디렉터리가 존재하는데 이는 <strong>하이브 파일에 대한 백업</strong>이다.</p> <h2 id="윈도우-이벤트-로그">윈도우 이벤트 로그</h2> <p>윈도우 이벤트 로그는 <strong>윈도우 시스템을 사용하는 동안 발생되는 모든 내용을 발생시간 순으로 기록</strong>하는 <strong>로그파일</strong>이다. 이벤트 로그는 이벤트 뷰어라는 관리도구를 사용하여 확인할 수 있으며 이벤트 로그를 기록하고 있는 로그파일은 확장자가 <code class="language-plaintext highlighter-rouge">*.evt</code> 라는 이름으로 기록되어 있다.</p> <p>이벤트 로그는 윈도우에서 발생되는 로그파일을 계속해서 기록하여 모든 로그를 보유하고 있는 것이 아니라 <span style="color:orangered"><strong>일정한 크기가 되면 덮어쓰는 형태</strong></span>로 기록된다. 이벤트 뷰어 프로그램에서 이벤트 로그파일의 크기를 변경할 수 있다.</p> <h3 id="윈도우-로그-종류">윈도우 로그 종류</h3> <ul> <li><strong>응용 프로그램 로그</strong> <ul> <li>프로그램 개발자에 의해서 이벤트를 정의하고 분류하여 응용 프로그램에 기록할 이벤트들이 수록된 자료</li> </ul> </li> <li><strong>보안 로그</strong> <ul> <li>관리자에 의해서 보안 로그에 기록된 이벤트 유형을 지정하고, 보안 로그에 기록됨</li> <li>로그온 횟수, 로그인 오류 정보, 파일 생성 및 다른 개체 만들기, 파일 열기 및 삭제 등의 리소스 사용관련 이벤트 기록</li> </ul> </li> <li><strong>시스템 로그</strong> <ul> <li>윈도우 시스템에서 사전에 정한 윈도우 시스템 구성요소에서 기록한 이벤트 자료</li> </ul> </li> </ul> <p>수집된 이벤트 로그는 파일변환을 통해서 엑셀 혹은 SQLite DB에 업로드하거나 Logparse 도구를 사용해서 분석한다.</p> <h2 id="웹-아티펙트-분석">웹 아티펙트 분석</h2> <p><span style="color:orangered">웹 아티펙트 분석</span>은 사용자가 웹 사이트를 이용한 흔적을 분석하는 것이다. 웹은 웹브라우저와 웹 서버 간의 양방향 통신으로 이루어지고, <strong>웹에서 할당한 모든 기록을 가지고 와서 분석</strong>하는 것을 웹 아티펙트 분석이라고 한다.</p> <p>웹 아티팩트 분석 대상으로는 웹 브라우저 <span style="color:orangered">캐시</span>가 있는데 웹 브라우저 캐시는 캐시 데이터와 캐시 인덱스 정보로 이루어져 있다. <strong>캐시 데이터</strong>는 <strong>다운로드 받은 이미지 텍스트 파일, 아이콘 등</strong>을 가지고 있고 <strong>캐시 인덱스</strong>는 <strong>다운로드 URL, 다운로드 시간, 데이터 크기 등</strong>의 정보를 가지고 있다.</p> <p><span style="color:orangered">히스토리 분석</span>은 사용자가 방문한 웹 사이트 접속 정보를 저장하는 것으로 월별, 일별 방문 기록을 가지고 있다. <strong>히스토리 정보</strong>는 <strong>방문 사이트 URL, 방문 시간, 방문 횟수, 사이트 제목 등</strong>을 가지고 있다.</p> <p>웹 브라우저 <span style="color:orangered">쿠키</span>는 <strong>웹 사이트 방문 시 자동으로 사용자 PC에 저장되는 작은 저장 공간</strong>으로 <strong>자동 로그인 기능, 자주 조회되는 물건 등의 값</strong>이 있다. 또한 <strong>호스트 정보, 경로, 수정시간, 만료시간</strong> 등의 값도 있다.</p> <p>인터넷 익스플로러에 대한 아티팩트 수집 데이터 위치</p> <ul> <li><strong>index.dat</strong> (<code class="language-plaintext highlighter-rouge">Win XP, 7</code>) <ul> <li>캐시, 히스토리, 쿠키 등의 정보가 <strong>각각 나누어져 별도</strong>의 index.dat 파일로 구성</li> </ul> </li> <li><strong>WebCacheV01.dat / WebCacheV24.dat</strong> (<code class="language-plaintext highlighter-rouge">Win 10</code>) <ul> <li>웹 아티팩트 <strong>파일이 통합</strong>되어서 관리</li> </ul> </li> </ul>

레지스트리(Registry)

윈도우 레지스트리는 마이크로소프트 윈도우 운영체제에서 운영체제 및 응용 프로그램 등에 필요한 정보를 저장하고 관리하기 위한 계층형 데이터베이스이다. 레지스트리는 윈도우 부팅 시 로그인, 서비스 실행, 응용 프로그램 실행, 사용자의 행위에 관한 모든 활동에 참여하고 그 정보를 기록 및 관리하는 것으로 윈도우 Me, XP, 2003, 7, 8, 10 모두 사용된다.

윈도우 레지스트리 정보를 확인하는 방법은 regedit.exe 라는 레지스트리 관리 프로그램을 실행하면 된다.

윈도우 레지스트리는 계층형 데이터베이스로 Key, Value, Data Type, Data로 이루어져 있다. 키는 상위 레벨에서 하위 레벨 구조로 정의되어 있으며 레지스트리가 어떤 정보를 가지고 있는지 나타낸다.

해당 키에는 Value와 Data Type, Data로 되어 있어서 Key에 대한 Value와 Value의 데이터 형태가 문자 혹은 숫자인지 등의 데이터 타입이 정의되고 마지막에는 해당 Value가 가지고 있는 데이터를 나타낸다.

윈도우 레지스트리 키 중에서 가장 상위 레벨에 있는 레지스트리 키를 루트 키(Root Key)라고 하는데 하위에 있는 레지스트리들에 어떤 정보가 있는지 알려주는 것으로 레지스트리 정보를 일정한 기준으로 분류한다.

루트키 역할

• HKEY_CLASSES_ROOT : 파일의 각 확장자에 대한 정보와 파일과 프로그램 간의 연결에 대한 정보
• HKEY_LOCAL_MACHINE : 설치된 하드웨어와 소프트웨어 설치 드라이버 설정에 대한 정보
• HKEY_USERS : 사용자에 대한 정보
• HKEY_CURRENT_CONFIG : 디스플레이 설정과 프린트 설정에 관한 정보

주요 레지스트리 키

• 윈도우 버전 정보
  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
• 컴퓨터 이름 HKLM\SYSTEM\ControlSet00X\Control\ComputerName
  \ActiveComputerName
• 시작 프로그램 관련 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
  \CurrentVersion\Run,RunOnce,RunServices,RunServicesOnce
  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
  \CurrentVersion\Run,RunOnce,RunServices
• 최근에 실행한 명령어 확인
  HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion
  \Explorer\RunMRU

하이브(Hive)

하이브 파일은 레지스트 정보를 가지고 있는 물리적인 파일을 의미한다. 윈도우 레지스트 프로그램(regedit.exe)은 하이브 파일을 읽어서 보여주거나 변경하는 것으로 레지스트와 관련된 모든 정보는 하이브 파일에 저장되어 있다.

하이브 파일은 일반적인 에디터로 변경하는 것은 불가능하고 커널에 의해서 관리되며 SAM, SECURITY, SYSTEM, SOFTWARE, Default, NTUSER.DAT 등에 존재한다. 이러한 하이브 파일의 목록을 하이브 셋이라고 한다.

• SYSTEM : 시스템 부팅에 필요한 시스템 전역 구성정보를 가지고 있다
• SOFTWARE : 시스템 부팅에 필요없는 시스템 전역 구성정보로 소프트웨어 정보를 가지고 있다
• SECURITY : 시스템 보안정책과 권한 할당 정보로 시스템 계정만 접근이 가능하다
• SAM : 로컬 계정 정보와 그룹정보로 시스템 계정만 접근 가능
• HARDWARE : 시스템 하드웨어 디스크립션과 모든 하드웨어의 장치 드라이버 매핑 정보를 가지고 있다
• COMPONENTS : 설치된 컴포넌트와 관련된 정보 관리
• BCD00000000 : 부팅 환경 데이터를 관리하는 것은 과거 윈도우 XP의 Boot.ini가 없어지고 대체되었다.

윈도우에서 하이브 파일은 C:\windows\system32\config 디렉터리에 존재한다. 해당 디렉터리에는 RegBack이라는 디렉터리가 존재하는데 이는 하이브 파일에 대한 백업이다.

윈도우 이벤트 로그

윈도우 이벤트 로그는 윈도우 시스템을 사용하는 동안 발생되는 모든 내용을 발생시간 순으로 기록하는 로그파일이다. 이벤트 로그는 이벤트 뷰어라는 관리도구를 사용하여 확인할 수 있으며 이벤트 로그를 기록하고 있는 로그파일은 확장자가 *.evt 라는 이름으로 기록되어 있다.

이벤트 로그는 윈도우에서 발생되는 로그파일을 계속해서 기록하여 모든 로그를 보유하고 있는 것이 아니라 일정한 크기가 되면 덮어쓰는 형태로 기록된다. 이벤트 뷰어 프로그램에서 이벤트 로그파일의 크기를 변경할 수 있다.

윈도우 로그 종류

• 응용 프로그램 로그
  • 프로그램 개발자에 의해서 이벤트를 정의하고 분류하여 응용 프로그램에 기록할 이벤트들이 수록된 자료
• 보안 로그
  • 관리자에 의해서 보안 로그에 기록된 이벤트 유형을 지정하고, 보안 로그에 기록됨
  • 로그온 횟수, 로그인 오류 정보, 파일 생성 및 다른 개체 만들기, 파일 열기 및 삭제 등의 리소스 사용관련 이벤트 기록
• 시스템 로그
  • 윈도우 시스템에서 사전에 정한 윈도우 시스템 구성요소에서 기록한 이벤트 자료

수집된 이벤트 로그는 파일변환을 통해서 엑셀 혹은 SQLite DB에 업로드하거나 Logparse 도구를 사용해서 분석한다.

웹 아티펙트 분석

웹 아티펙트 분석은 사용자가 웹 사이트를 이용한 흔적을 분석하는 것이다. 웹은 웹브라우저와 웹 서버 간의 양방향 통신으로 이루어지고, 웹에서 할당한 모든 기록을 가지고 와서 분석하는 것을 웹 아티펙트 분석이라고 한다.

웹 아티팩트 분석 대상으로는 웹 브라우저 캐시가 있는데 웹 브라우저 캐시는 캐시 데이터와 캐시 인덱스 정보로 이루어져 있다. 캐시 데이터는 다운로드 받은 이미지 텍스트 파일, 아이콘 등을 가지고 있고 캐시 인덱스는 다운로드 URL, 다운로드 시간, 데이터 크기 등의 정보를 가지고 있다.

히스토리 분석은 사용자가 방문한 웹 사이트 접속 정보를 저장하는 것으로 월별, 일별 방문 기록을 가지고 있다. 히스토리 정보는 방문 사이트 URL, 방문 시간, 방문 횟수, 사이트 제목 등을 가지고 있다.

웹 브라우저 쿠키는 웹 사이트 방문 시 자동으로 사용자 PC에 저장되는 작은 저장 공간으로 자동 로그인 기능, 자주 조회되는 물건 등의 값이 있다. 또한 호스트 정보, 경로, 수정시간, 만료시간 등의 값도 있다.

인터넷 익스플로러에 대한 아티팩트 수집 데이터 위치

• index.dat (Win XP, 7)
  • 캐시, 히스토리, 쿠키 등의 정보가 각각 나누어져 별도의 index.dat 파일로 구성
• WebCacheV01.dat / WebCacheV24.dat (Win 10)
  • 웹 아티팩트 파일이 통합되어서 관리