반응형


철통보안, 윈도우즈 레지스트리 포렌식
국내도서
저자 : 할랜 카비 / 백제현역
출판 : 비제이퍼블릭 2011.08.17
상세보기


    1. Reg.exe  reg.exe /?
    2. Reg.exe query key
    3. Autoruns.exe autorunsc.exe
    4. Regscan.exe 프로세스 레지스트리검색
    5. Regshot 변경사항 검토, 구동중인 프로세스의 reg 스냅샷 찍고 비교하는 유틸
    6. 메모리의 레지스트리 수집
      1. Volatility project - dump 생겅
      2. Volatility 플어그안 -수집 및 파싱
    7. Regripper reg 검색엔진및 플러그인
  1. Regslack
    1. SAM하이브에서 사용자 계정정보 확인가능
      1. 패스워드 해시추출
        1. Pwdump7, cain
    2. System 분석
      1. Currentcontrolset -> select 키 -> cirrent 의 값에따라 controlset
  2. Svchost
    1. Software\MS\NT\Currentversion\svchost
    2. Svchost에 의해 실행되는 목록 기록
  3. Usb 분석
    1. 외장형하드는 ParentIdPrefix값이없음
    2. USB스토리지는 ParentIdPrefix값이 존재
  4. 휴지통비활성화
    1. Microsoft...bitbucket nukeondelete=1
      1. 파일 삭제시 휴지통거 ㅣ지않고 삭제
  5. 디폴트 브라우저 정보
    1. Prefet h의 client/startmenuinternet 키 아래 프로세스명이 등촉됨
  6. Ie dll 로드 browser helper object 키 활용
  7. 부팅시 어플 자동실행
    1. Run, winlogon/notify 키 두곳
  8. 사용자 프로파일
    1. Software//nt/currentver.../profilelist 에 사용다별 키 존재
  9. UAC비활성화
    1. MACROSOFT/WI DOWS/currentversion/policies/system
    2. EnableLUA=0
  10. 네트워크카드
    1. Sw/ms/windows nt/current version/networkcards 키 아래 존재


반응형