info-ideas4334 님의 블로그

디지털 포렌식 정보 블로그 입니다

  • 디지털 포렌식

    레지스트리 포렌식 분석 기법

    2025. 4. 27.

    by. info-ideas4334

    목차

      레지스트리 포렌식 분석 기법

       

       

      레지스트리 포렌식 분석 기법

       

       

       

      📌 1. 레지스트리란 무엇이며 포렌식에서의 중요성

      키워드: Windows 레지스트리, 시스템 구성, 사용자 활동 기록

      Windows 운영체제의 레지스트리(Registry) 는 시스템, 소프트웨어, 사용자 설정 등을 저장하는 중앙 데이터베이스다.
      하드웨어 드라이버 설정, 응용 프로그램 환경, 사용자 로그인 정보, 최근 사용 기록 등 수많은 정보를 보관하고 있으며,
      운영체제와 애플리케이션의 모든 행위가 레지스트리에 흔적을 남긴다.

      디지털 포렌식에서 레지스트리의 중요성은 다음과 같다:

      • 사용자 행위 기록 확보
        • 최근 열람 파일, 마지막 로그인 시간, USB 연결 기록 등
      • 시스템 설정 변경 탐지
        • 관리자 권한 획득 시도, 자동 실행 프로그램 설정 변경 등
      • 악성코드 흔적 탐지
        • 악성 프로그램이 자신을 부팅 시 자동 실행되도록 설정할 경우 레지스트리 조작 흔적 확인 가능

      특히, 레지스트리는 삭제된 파일이나 프로그램 설치 흔적이 사라졌더라도 사용 흔적을 간접적으로 확인할 수 있는 매우 중요한 보조 증거로 평가된다.

      📌 2. 레지스트리 주요 하이브(Hive) 구조와 분석 대상

      키워드: 레지스트리 하이브, NTUSER.DAT, SYSTEM, SOFTWARE

      Windows 레지스트리는 여러 개의 하이브(Hive) 파일로 구성되며, 각 하이브는 특정 범위의 설정을 담당한다. 포렌식 분석에서 주요 대상은 다음과 같다:

      • HKEY_LOCAL_MACHINE\SYSTEM (system 하이브)
        • 시스템 부팅 정보, 장치 드라이버 설정, 최근 연결된 하드웨어 기록
        • USB 연결 흔적(USBSTOR 키 등) 분석 가능
      • HKEY_LOCAL_MACHINE\SOFTWARE (software 하이브)
        • 설치된 프로그램 목록, 실행 경로, 라이선스 정보
        • 악성 소프트웨어 설치 여부 파악 가능
      • HKEY_USERS 및 HKEY_CURRENT_USER (ntuser.dat 파일)
        • 사용자별 설정, 최근 파일 열람 기록, 바탕화면 경로 등
        • 사용자의 개별 행동 분석에 매우 중요한 데이터
      • HKEY_CLASSES_ROOT
        • 파일 연관 프로그램 정보, 쉘 확장 등록 내역
      • SAM (Security Account Manager)
        • 사용자 계정 정보와 비밀번호 해시 저장
        • 계정 생성/삭제, 비밀번호 변경 흔적 분석 가능

      이러한 하이브 파일은 운영체제가 동작 중일 때뿐 아니라, 메모리 덤프, 디스크 이미징 후에도 추출하여 독립 분석할 수 있다.

      📌 3. 레지스트리 분석 기법과 도구 활용

      키워드: 타임라인 재구성, 키 값 변경 분석, 레지스트리 포렌식 도구

      레지스트리 포렌식 분석은 다음과 같은 절차와 기법을 따른다:

      • 레지스트리 하이브 추출 및 복사
        • 메모리 덤프 또는 디스크 이미지로부터 하이브 파일 추출
        • 운영체제 구동 중이라면 FTK Imager 등의 도구를 사용해 무결성 확보 복사
      • 레지스트리 파싱 및 시각화
        • 레지스트리 파싱 도구를 이용해 키(Key)와 값(Value) 구조를 해석
        • 수정 시간(MAC Time) 분석을 통해 활동 시점 파악
      • 타임라인 기반 행위 분석
        • 파일 오픈 기록, USB 장치 연결, 네트워크 공유 기록 등을 시간 순서로 재구성
      • 도구 활용
        • Registry Explorer: GUI 기반 상세 분석
        • RECmd: 명령줄 기반 분석, 자동 보고서 생성
        • YARU (Yet Another Registry Utility): 하이브 비교 및 변조 탐지 기능 지원

      레지스트리 분석 결과는 종종 삭제된 파일 복구나 로그 분석만으로는 확인할 수 없는 사용자의 실제 행동과 관련 설정 변경 사실을 드러낸다.

      📌 4. 레지스트리 포렌식 수행 시 유의사항

      키워드: 무결성 유지, 시간대 설정, 사용자 별 분석 구분

      레지스트리 포렌식 수행 시 다음과 같은 사항을 반드시 고려해야 한다:

      • 무결성 확보 및 복사본 분석 원칙 준수
        • 원본 하이브는 보존하고 복제본에서 분석 수행, 해시값 검증 필수
      • 시간대(Time Zone) 설정 고려
        • 레지스트리 키의 타임스탬프는 UTC 또는 시스템 시간 기준일 수 있으므로
          분석 시 적절한 시간대 변환이 필요
      • 사용자 별 분석 구분
        • 하나의 시스템에 여러 사용자 프로필이 존재할 경우,
          각각의 NTUSER.DAT 파일을 독립 분석해야 정확한 사용자 행동 분석 가능
      • 자동 실행 프로그램 주의
        • 부팅 자동 실행 경로(Startup Run Keys)는 정상 프로그램과 악성코드를 구별해야 하며,
          파일 경로, 실행 명령어 등을 추가 검토해야 함

      결론적으로, 레지스트리 포렌식은 시스템 내부 깊숙한 흔적을 분석해 디지털 사건의 이면을 밝히는 정밀 작업이며,
      고도의 분석 기술, 도구 활용 능력, 절차적 정당성 확보가 요구된다.

      저작자표시 비영리 변경금지

      '디지털 포렌식' 카테고리의 다른 글

      로그 분석을 통한 디지털 포렌식 기법  (0) 2025.04.27
      IoT 환경에서의 디지털 포렌식 과제  (0) 2025.04.27
      디지털 포렌식에서의 클라우드 데이터 수집 기법  (0) 2025.04.21
      디지털 포렌식에서의 메타데이터 분석 기법  (0) 2025.04.21
      디지털 포렌식 전문가가 알아야 할 법률 지식  (0) 2025.04.20
      사이버 공격 대응을 위한 포렌식 절차 수립 방법  (0) 2025.04.19
      디지털 포렌식에서의 데이터 복구 기술  (0) 2025.04.19
      포렌식 분석 도구 비교: EnCase vs. FTK  (0) 2025.04.19

      이 글을 본 사람들도 관심있게 본 글

    티스토리툴바