1. Windows 시스템 폴더 구조
Windows XP 버전 이하
C:\Documents and Settings\[User ID]\
Windows Vista 버전 이후
C:\Users\[User ID]\
Documents and Settings 또는 Users 폴더에는 사용자 계정 별 프로필 설정 및 데이터가 저장되며 하위에는 계정 별 바탕화면, 즐겨찾기, 내 문서 등 환경정보가 저장된 파일 및 폴더가 존재합니다.
Application Data 애플리케이션 별 데이터, 응용 소프트웨어 개발자가 사용자 프로필 폴더에 저장할 데이터를 결정
AppData Windows Vista 이전 Windows 시스템의 Application Data 폴더 하위 폴더에 Local, LocalLow, Roaming 폴더 존재
※ Local : 다른 컴퓨터에서 로그인 시 Roaming하기에 적합하지 않은 데이터 저장에 사용
※ LocalLow : Integrity Level이 낮을 떄에도 사용할 수 있는 폴더, 보안 위협이 큰 프로그램이 임시파일을 저장하거나 기록할 수 있는 경로로 사용
※ Roaming : Active Directory 환경에서 다른 컴퓨터에서 로그인할 때 동기화가 필요한 사용자 계정 프로필, 환경 설정 등의 파일을 저장하기 위한 경로로 사용
| Cookies | 웹사이트 방문 시 저장되는 쿠키 정보 |
| Documents | 사용자 문서 |
| Favorites | 인터넷 익스플로러의 즐겨찾기 정보 목록 |
| Local Settings | 응용 소프트웨어 데이터, History 기록 및 임시 파일 저장 |
| NetHood | 네트워크 환경 항목에 대한 바로가기 |
| Pictures | 사용자 그림 항목 |
| PrintHood | 프린터 폴더 항목에 대한 바로가기 |
| Recent | 최근 접근한 문서 및 폴더의 링크 저장 |
| SendTo | 문서 처리 유틸리티에 대한 바로가기 |
| 시작메뉴 | 시작 프로그램 항목에 대한 바로가기 |
| Templates | 사용자 템플릿 항목 |
C:\Promgram Files\
각종 응용프로그램들이 설치되는 폴더로 시스템 정보파일이 존재합니다.
C:\ProgramData\
Windows Vista부터 등장한 폴더로 Windows 시스템에 설치된 프로그램들이 모든 사용자 계정에서 사용할 수 있는 데이터를 저장하는데 사용합니다. 기본적으로 숨김 속성을 가지고 있어 윈도우 탐색기의 폴더옵션에서 '숨김 파일 및 폴더 표시' 기능에 체크를 해야 확인이 가능합니다
$RECYCLE.BIN\
Windows 시스템의 휴지통 폴더로 사용자의 SID 별로 각각의 파일 시스템에 폴더가 생성됩니다. 사용자의 SID는 레지스트리 HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList에서 확인이 가능합니다.
C:\System Volume Information\
Windows Me 이상부터는 시스템 복원 기능이 존재하며 기본적으로 활성화 되어 있어 Windows 시스템의 시스템 복원 도구가 해당 정보와 복원 지점을 저장하기 위해 사용하는 숨겨진 시스템 폴더입니다. System Restore Service가 활성화 된 경우에는 설정된 모든 파일시스템에 System Volume Information 폴더가 생성됩니다.
2. 윈도우 레지스터
Windows 기반 시스템에서 하나 이상의 사용자, 응용 프로그램 및 하드웨어 장치에 적합하게 시스템을 구성하는 데 필요한 정보를 저장하는 중앙계층형 데이터 베이스를 말합니다.
| 데이터 형식 | 설명 |
| REG_BINARY | 대부분의 하드웨어 구성 요소 정보는 이진 데이터로 저장되고 16진수 형식으로 레지스트리 편집기에 표시 |
| REG_DWORD | 4Bytes 길이로 표현되는 데이터, 장치 드라이버와 서비스의 많은 매개 변수가 이 형식으로 되어 있으며, 레지스트리 편집기에 이진, 16진수 또는 10진수 형식으로 표시 |
| REG_DWORD_LITTLE_ENDIAN | Little Endian 순서로 표현되는 32비트 정수 데이터. REG_DWORD와 동일 |
| REG_DWORD_BIG_ENDIAN | Big Endian 순서로 표현되는 32비트 정수 데이터. REG_DWORD와 동일 |
| REG_EXPAND_SZ | 환경변수를 넣을 수 있는 가변길이의 유니코드 문자열 |
| REG_MULTI_SZ | 다중 문자열. 사용자들이 읽을 수 있는 형식으로 된 여러 값이나 목록이 포함된 값들이 일반적으로 사용하는 형식. 공백, 쉼표나 다른 기호로 항목을 구분 |
| REG_SZ | 고정길이의 유니코드 텍스트 문자열 |
| REG_RESOURCE_LIST | 하드웨어 장치 드라이버나 이 드라이버가 제어하는 물리장치 중 하나에서 사용하는 리소스 목록을 저장할 목적으로 설계된 일련의 중첩배열 시스템이 데이터를 감지하여 \ResourceMap트리에 기록 이 값은 레지스트리 편집기에 이진갑의 16진수 형식으로 표시 |
| REG_RESOURCE_REQUIREMENTS_LIST | 장치 드라이버나 이 드라이버가 제어하는 물리장치 중 하나에서 사용할 수 있는 장치 드라이버의 가능한 하드웨어 리소스 목록을 저장할 목적으로 설계된 일련의 중첩 배열. 시스템은 \ResourceMap 트리로 이 목록의 하위 집합을 사용. 이 데이터는 시스템에 의해 감지되면 레지스트리 편집기에 이진값의 16진수 형식으로 표시 |
| REG_FULL_RESOURCE_DESCRIPTOR | 물리 하드웨어 장치에서 사용하는 리소스 목록을 저장할 목적으로 설계된 일련의 중첩 배열. 시스템은 이 데이터를 감지하여 \HardwareDescription 트리에 기록. 이 값은 레지스트리 편집기에 이진값의 16진수 형식으로 표시 |
| REG_NONE | 특정한 형식이 없는 데이터. 이 데이터는 시스템과 응용 프로그램에 의해 레지스트리에 쓰여지며 레지스트리 편집기에 이진값의 16진수 형식으로 표시 |
| REG_LINK | 심볼릭 링크의 이름을 지정하는 유니코드 문자열 |
| REG_QWORD | 64비트 정수로 표현되는 데이터 레지스트리 편집기에 이진값으로 표시되며 Windows 2000에 도입 |
| REG_QWORD_LITTLE_ENDIAN | Little Endian 순서로 표현되는 64비트 정수 데이터 REG_QWORD와 동일 |
[표1] 레지스트리 키 데이터 형식 유형
| 구분 | 설명 |
| HKEY_CLASS_ROOT(HKCR) | 파일 확장자명과 응용프로그램의 연결정보를 저장 |
| HKEY_CURRENT_USER(HKCU) | 현재 로그온 되어 있는 사용자에 따라 달리 적용되는 제어판 설정, 네트워크 연결, 응용 프로그램, 배경화면, 디스플레이 설정 등을 저장 윈도우가 설치된 컴퓨터 환경 설정에 관한 정보가 있다. |
| HKEY_LOCAL_MACHINE(HKLM) | 개별 사용자 단위가 아닌 시스템 전체에 적용되는 하드웨어와 소프트웨어의 설정 데이터를 저장 Default 로그온 계정 정보가 포함되어 있다. |
| HKEY_USERS(HKU) | 사용자 프로필을 만들 때 적용한 기본 설정과 사용자 별로 정의한 그룹 정책 등을 저장 |
| HKEY_CURRENT_CONFIG | 실행 시에 수집한 자료를 저장 이 키에 저장된 정보는 디스크에 영구적으로 저장되지 않고 부팅 시 생성 |
| HKEY_PERFOMANCE_DATA | 런타임 성능 데이터 정보를 제공 이 키는 레지스트리 편집기에 보이지 않지만 Windows API의 레지스트리 명령어를 통해 열람 가능 |
[표2] 레지스트리 루트키 종류
%SystemRoot%\System32\Config\에 저장되는 하이브 파일은 다음과 같다.
| 레지스트리 하이브 | 하이브 파일 경로 및 파일명 |
| HKEY_LOCAL_MACHINE\SYSTEM | %SystemRoot%\System32\Config\SYSTEM |
| HKEY_LOCAL_MACHINE\SAM | %SystemRoot%\System32\Config\SAM |
| HKEY_LOCAL_MACHINE\SECURITY | %SystemRoot%\System32\Config\SECURITY |
| HKEY_LOCAL_MACHINE\SOFTWARE | %SystemRoot%\System32\Config\SOFTWARE |
| HKEY_LOCAL_MACHINE\HARDWARE | 휘방성 하이브 |
| HKEY_USERS\UserProfile | <사용자 계정>\NTUSER.DAT |
| HKEY_USERS\DEFAULT | %SystemRoot%\System32\Config\DEFAULT |
[표3] %SystemRoot%\System32\Config\ 하위에 위치한 하이브 파일 경로 및 파일명
HKEY_CURRENT_USER 키의 지원 파일은 현재 로그인한 사용자의 사용자 프로파일 폴더에 존재합니다. HKEY_CURRENT_USER 키에는 로컬로 로그인한 사용자 별 설정 및 소프트웨어 구성에 관한 데이터가 기록되어 있으며, 사용자 프로파일의 데이터는 Windows 3.x 버전에서 Win.ini 파일에 저장된 데이터와 유사합니다.
※ Win.ini
기본적인 INI 파일이고 Windows 3.11이상에서 부팅할때 기본적 세팅으로 저장됩니다. 폰트, 드라이버, 바탕화면, 화면보호기, 언어 세팅등이 저장됩니다.
| 서브키 | 설명 |
| AppEvents | 사운드/이벤트 관련 키 |
| Console | 명령창 설정 |
| Control Panel | 접근성 및 지역설정, 화면보호기, 데스크톱 구조, 키보드, 마우스 설정 |
| Environment | 환경 변수 정의 |
| EUDC | 사용자가 정의한 문자 정보 |
| Identities | 메일 계정 정보 |
| Keyboard Layout | 키보드 배치 설정 |
| Network | 네트워크 드라이브 매핑 및 설정 |
| Printers | 프린터 연결 설정 |
| Seesion Information | 현재 세션에서 실행되는 프로그램을 작업 표시줄에 몇 개까지 보이게 할 것인지 여부 |
| Software | 사용자 별 소프트웨어 속성 |
| ICODE Program Group | 사용자 별 시작 메뉴 그룹 정의 |
| Volatile Environment | 휘발성 환경 변수 정의 |
[표 4] HKCU 서브키 종류 설명
레지스트리 분석을 통해 다양한 정보들을 분석해 볼 수 있습니다.
· 사용자 계정의 Default 폴더 경로
· 최근 사용한 파일 및 프로그램 목록
· 최근 실행하거나 수정한 문서파일 접근 기록
· 사용한 USB 장치의 제조사, 모델명, 고유번호 정보
· 설치 후 삭제한 프로그램 정보
· 삭제된 사용자 계정 잔류정보
· 메신저 사용 잔류 정보
· 악성코드 감염 정보
· Windows 운영체제 설치 일시
· 공유 폴더 기록 등
3. Windows 계정정보
Windows 시스템의 SAM은 사용자의 암호를 통해 로컬 및 원격 사용자를 인증하는데 사용되고 Windows 2000 서비스 팩 4부터는 Acitve Directory 기반 원격 사용자를 인증하는데에도 사용됩니다.
SAM 하이브 파일은 Windows 시스템의 사용자 계정과 패스워드를 암호화 하여 보관하고 있어 UNIX 시스템의 /etc/passwd 파일과 같은 역할을 합니다.
Windows 시스템은 크게 두 가지의 계정 그룹이 있습니다. 사용자 계정(Account)은 관리자가 새로 만들거나 Bulit-In 계정 중에서 사용자에게 할당 가능한 Administrator, Guest와 같은 계정들이며, Bulit-In 계정은 Windows 시스템이나 IIS 같은 서비스들이 설치될 때 함께 등록되는 기본 계정입니다.
※ Bulit-In 계정 종류 : LocalSystem, LocalService, NetworkService
SAM 하이브에서 각 사용자에 관한 정보는 SAM\Doadmins\Account\Users\RID 경로에서 확인할 수 있습니다.
관리자 계정의 RID 값이 500이라면 SAM에서는 000001F4로 나타납니다.
4. SID
보안 식별자로서 개개인의 사용자를 식별하기 위한 고유 번호입니다.
실제 사용자 계정과 매핑을 하려면 레지스트리 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows NT\CurrentVersion\ProfileList키와 하위키를 참조하면 됩니다.
SID 구조는 다음과 같습니다.
| 구성요소 | 설명 |
| S | SID를 의미하는 접두사 |
| 1 | 버전 번호 |
| 5 | SID를 생성할 수 있는 최고 수준의 보안 권한을 식별 |
| 26644354174-154150936-313073093 | 하위 권한을 의미하며 집합적으로 계정에 대한 권한이 있는 컴퓨터나 도메인에서 사용 |
| 1004 | 비교 식별자(Relative Identifier) RID라고 불리며, 이 숫자를 이용하여 특정 사용자와 그룹을 식별함 |
5. 이벤트 로그
Windows 시스템에서 일어나는 일들을 일련의 이벤트라고 합니다.
윈도우 이벤트 로그는 이벤트 추적 및 로그 아키텍처이며, Windows NT이후 도입되었습니다.
이벤트 로그는 다른 시스템에 자동으로 이동되도록 설정할 수도 있으며, 원격으로 다른 컴퓨터에게 감시를 받거나 한 대의 컴퓨터에서 여러 컴퓨터의 이벤트 로그를 기록하고 관리할 수 있습니다.
이벤트 로그는 운영체제 버전에 따라 evt, evtx와 같은 확장자를 지니며 %WINDIR%\System32\winevt\Logs와 같은 경로에 기록됩니다.
System Log : Windows 시스템 구성 요소에서 기록한 이벤트
Security Log : 파일이나 다른 객체 등 리소스 사용과 관련된 이벤트와 로그온 시도와 관련된 이벤트
Application Log : 응용프로그램에서 기록한 이벤트로서 일정한 형식이 없음
Setup Log : 응용프로그램의 설치와 관련된 이벤트
'디지털 포렌식 2급 자격증 필기 > 파일시스템과 운영체제' 카테고리의 다른 글
| 운영체제-1 (0) | 2023.09.13 |
|---|---|
| 1편 파일시스템 (4) | 2023.08.30 |
댓글