처음 만나는 클라우드 보안

이번 포스팅에선 윈도우7 환경에서의 레지스트리 포렌식과 프리패치 포렌식 방법에 대해 알아본다. 레지스트리 포렌식 레지스트리(Registry)란? : 레지스트리란 윈도우계열 시스템에서 사용하는 시스템 구성 정보를 저장한 데이터베이스를 말한다. 프로세스의 종류, 기억장치의 용량, 응용 소프웨어에서 취급하는 파일 타입과 매개변수가 기록되어 있으며, 저장 매체의 사용 흔적, 최근 접속 문서, 응용프로그램 실행 등의 사용 흔적이 저장된다. 레지스트리 하이브(Registry hive)란? : 레지스트리의 정보가 저장되어 있는 바이너리 형식의 파일을 말한다. 레지스트리는 휘발성 메모리이기 때문에 포렌식에 필요한 정보는 하이브 파일을 찾아 확인해야 하며 일반 계정의 사용자는 접근이 불가하다. - 하이브 파일 위치 C:..

디지털 포렌식(Digital Forensic) 컴퓨터와 같은 디지털 저장매체의 정보 중 법정 증거로 가치 있는 '디지털 증거'를 수집하는 업무를 말한다. 포럼(Forum)이라는 라틴어처럼, 공개적인 자리에서 누구나 인정할 수 있는 객관성 갖는 것이 주목적이다. 1. 디지털 증거 수집 모니터상 프로그램 사진자료 확보, Off-storage확보, 연관 프로세스 확인 등 1) 매체의 전원이 켜져 있는 경우 - DOS, Window 9x, Window XP, 2000, pro, Mac => 전원 플러그 강제 분리 (노트북 배터리 탈거) - Windows server (2000, 2003, 2008), Linux, Unix 등 => 정상적 종료작업 수행 (Shutdown) 2) 매체의 전원이 꺼져 있는 경우 - ..