Forensic/윈도우포렌식 (2) 썸네일형 리스트형 레지스트리 포렌식(2) 1.MRU: 가장 최근에 사용된 파일, 프로그램 등에 대한 정보 목록 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDig32\OpneSaveMRU 최근 open 되거나 save 된 파일 목록 기록 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDig32\LastVisitedMRU 최근 실행 프로그램의 파일명과 open/save한 파일이 존재하는 폴더 path 저장 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\rRunMRU [시작]->[실행]을 선택하여 실행된 명령어의 목록 저장 HKCU\Software\Microsoft\Search.. 레지스트리 포렌식(1) 1. 레지스트리란? 윈도우 운영체제에서 하나 이상의 사용자, 응용 프로그램 및 하드웨어 장치에 맞게 시스템을 구성하는데 필요한 정보를 저장하는 중앙계층형 데이터베이스이다. 레지스트리를 분석하면 사용자의 프로필 , 설치된 응용프로그램 정보, 프로그램 실행 흔적, 무선네트워크 , USB 연결 흔적등이 남기 때문에 윈도우 포렌식 분약의 주요 아티팩트이다. (1)레지스트리 구조 (2)Hive Key -root key 라고도 하며 하이브 키는 HKEY로 시작한다. -HKEY란 Hive key를 뜻하며 HKLM과 같이 HK로 줄여서 표현되기도 한다. 하이브 키 약자 설명 원본 HKEY_CLASSES_ROOT HKCR 파일 확장자, 응용 프로그램 간 바인딩 정보 등이 저장되어 있다. HKU를 참조 HKEY_CURRE.. 이전 1 다음