HKEY_CLASS_ROOT
- 파일에 대한 확장자에 대한 정보와 프로그램 간의 연결 정보
HKEY_LOCAL_MACHINE
- Default 로그온 계정 정보가 포함되어 있는 Root Key
HKEY_CURRNET_USER
- 윈도우가 설정된 컴퓨터 환경 설정에 대한 정보
- 현재 시스템에 로그온하고 있는 사용자와 관련된 시스템 정보를 저장
HKEY_USERS
- 시스템에 있는 모든 계정과 그룹에 관한 정보를 저장
윈도우 이벤트 로그
- 윈도우 시스템에서 일어나는 이벤트들의 로그를 저장하는 파일
- 윈도우에서 발생하는 매일 매일의 이벤트 변화를 기록
- 사용자가 임의로 이벤트 로그에 기록되는 이벤트의 범위를 지정 가능
- 관리자는 이벤트 로그를 위한 GUI 기반의 이벤트 뷰어를 통하여 이벤트 로그를 제어 가능
- 이벤트 로그 데이터를 분석함으로써 시스템 부팅, 로그인, 로그아웃, 시스템 종료, 시간 설정 변경 등에 대한 정보 확인 가능
- 시스템 로그 : 시스템 구성 요소들의 이벤트를 로그로 남김
- 시큐리티 로그 : 사용자들의 로그인 성공과 실패, 보안정책 변경 등을 기록
- 어플리케이션 로그 : 응용 프로그램이 만드는 다양한 이벤트들을 기록하는데, 일정한 형식이나 규칙이 없음
FORWARDED EVENT LOG
- 원격 컴퓨터에서 수집한 이벤트를 저장하는 데 사용하는 이벤트 로그
윈도우 운영체제의 레지스트리
- 레지스트리는 regedit.exe 전용 편집기에서 볼 수 있음
- 레지스트리 백업 및 복구는 regedit.exe를 실행해야 함
윈도우 운영체제의 주요한 4가지 레지스트리
- SOFTWEAR, SYSTEM, SECURITY, SAM
Windows Server 2008에서 DNS Zone 파일의 기본 위치
- %SystemRoot%\System32\DNS
Windows Server 2008에서 내장 계정으로 생성되는 것
- LocalSystem
- LocalService
- NetworkService
Windows XP 환경에서 백업 대상
- Registry
- Local user profile
- COM+ & WMI Databases
Windows에서 사용자 로그온 인증
- SAM에 의한 로컬 사용자 로그온 인증
net user
- 시스템에 등록된 모든 사용자 계정 정보를 얻을 수 있는 명령어
net session
- Remote 접속 사용자 정보를 얻을 수 있는 명령어
x84 인텔 프로세서 아키텍처 권한 수준 중 3레벨
- user mode
Active Directory
- 네트워크 상에 존재하는 모든 Resources를 식별하고 사용자와 응용 프로그램에 Resources에 대한 정보를 제공하는 네트워크 서비스
- Active Directory 관리자는 중앙 관리 인터페이스를 통하여 네트워크 서비스, 분산된 Desktop, 응용프로그램들을 관리할 수 있음
- Active Directory는 네트워크에 연결된 Resources에 대하여 Single Sign-on을 제공
- 도메인 컨트롤러와 글로벌 카탈로그 서버의 목록을 DNS에 저장하며 동적 DNS를 이용 가능
- 도메인은 조작 단위 또는 OU라고 부르는 하위 도메인으로 나눌 수 있으며 이를 이용하여 특정인에게 다양한 유형의 권한 제어를 할당하는 것이 가능
- 대부분의 사용자 정보를 NTDS.DIT 파일에 저장하며, 이것은 MS의 Access Database 기반에서 변경된 데이터베이스
Windows Server 2008에서 사용하는 파일 및 폴더의 사용 권한
- 기본적으로 접근 불가가 승인/거부되지 않았다면 접근이 거부됨
- 사용자의 권한은 속한 그룹의 권한에 우선함
- 부모 폴더 사용 권한 설정 시 사용 권한의 상속을 폴더 내의 모든 파일과 하위 폴더에 강제할 수 있음
Name Resolution Service인 LLMNR (Link-Local Multicast Name Resolution)
- IPv4, IPv6 또는 두 주소 모두를 가진 장비를 위한 Peer-to-peer Name Resolution Service를 제공
Windows 8의 File History 기능
- 바탕화면, 연락처, 즐겨찾기 등을 백업하고 문제가 생겼을 때 복구하고자 할 때 사용하는 기능
Windows 8의 새로운 기능
- Metro UI, 사진 인증 및 PIN 인증, 로컬 계정과 Windows Live 계정 통합 가능
파일 시스템 터널링
- 파일이 삭제된 직후 일정 시간(기본 15초) 안에 동일한 이름의 파일이 생성되는 경우 방금 삭제된 파일의 테이블 레코드를 재사용하는 특징이 있음
Windows 7의 점프 리스트
- 사용자가 최근에 접근한 문서나 파일의 목록 유지
Windows Vista나 Windows Server 2008에서 기본적으로 제공하는 Name Resolution System
- DNS (Domain Name System)
- WINS (Windows Internet Name Service)
- LLMNR (Link-Local Multicast Name Resolution)
Windows 파일 중에서 "abc.txt:hack.exe"라는 파일이 존재한다면 이를 잘 설명할 수 있는 개념
- ADS (Alternative Data Stream)
시스템 이벤트 감사와 로그인 이벤트 감사의 주요 이벤트 로그 ID
- 529 : 알 수 없는 계정이나 잘못된 암호를 이용한 로그인 시도
- 514 : LSA 인증 패키지 로드
- 516 : 저장 공간의 부족으로 인해 보안 이벤트 메시지 손실
AutoShareWks
- 0이면 공유 목록을 제거하기 위한 레지스트리 값
- 1이면 공유 목록 허용 (취약점 발생)
USBSTOR
- 윈도우 기반 PC에서 연결된 적이 있는 USB 정보를 확인하기 위해서는 USBSTOR 폴더를 검사해야 함
윈도우에서 폴더나 파일에 대한 접근 권한
- 허용보다 거부가 우선
- NTFS 접근 권한은 누적됨
- 그룹 A와 그룹 B에 속한 사용자는 양쪽 권한을 모두 보유
MBSA (Microsoft Baseline Security Analyzer)
- 일반적으로 틀리기 쉬운 보안 관련 설정을 간단히 확인하기 위한 도구
NBTScan
- NETBIOS name 정보를 얻기 위하여 네트워크를 점검하는 프로그램
- UDP 프로토콜을 사용하기 때문에 다른 TCP 프로토콜을 사용하는 취약점 점검 보다 처리 속도가 빠름
Null Session
- Null Session을 이용한 해킹을 방지하기 위한 방법으로 Null Session Port인 TCP/UDP 135 ~ 139번 포트를 차단
- Null Session으로 수집할 수 있는 정보는 패스워드 정보, 그룹 정보, 서비스 정보, 운영 중인 프로세서 정보 등 중요 정보들이며, 일부 레지스트리에도 접근 가능
- Windows가 설치된 네트워크의 다른 원격 컴퓨터에 User ID와 패스워드를 Null로 접속할 수 있게 해주는 것
SAM 파일
- 윈도우에서 시스템 설정 정보를 저장하는 레지스트리 정보 중 로컬 사용자 계정 정보와 관리자 비밀번호 등을 저장하는 레지스트리의 중요 파일
Schannel
- SSL (Secure Sockets Layer) 및 TLS (전송 계층 보안) 인터넷 표준 인증 프로토콜을 구현하는 SSP
윈도우의 공유폴더 관리
- 윈도우는 관리 목적 상 ADMIN$, C$, D$, IPC$ 등을 기본적으로 공유
- IPC$는 컴퓨터 간 netbios 통신을 위해 사용
- IPC$는 Null Session Share의 취약점 보유
OLE (Object Linking and Embedding)
- 외부 문서 참조 기능을 위한 윈도우 OS의 표준
- 다른 응용프로그램에서 작성한 그림 등을 작성 중인 문서로 삽입해 가져올 수 있는 운영체제의 기능
802.1X 인증된 유선 액세스에 대한 기능
- 성공적으로 인증 작업을 수행할 수 없는 게스트, Rogue 또는 관리되지 않는 컴퓨터를 인트라넷에 연결할 수 없도록 차단하는 추가 보안 장벽 기능을 제공
- 관리자가 IEEE 802.11 무선 네트워크에 IEEE 802.1X 인증을 배포하여 보안을 강화하는 것과 같은 이유로 네트워크 관리자는 IEEE 802.1X 표준을 구현하여 해당 유선 네트워크 연결을 보호
- Windows Server(R) 2012의 유선 액세스에는 Windows Server 2008 R2에서 제공된 유선 액세스 솔루션이 최소한으로 변경
- 변경된 내용을 요약하면 EAP-TTLS가 네트워크 인증 방법 목록에 기본적으로 표현되는지 여부임
prefetch 파일
- 프리패치 파일은 윈도우 XP에서 처음 사용하였으며, Windows\Prefetch 디렉토리 하위에 *.pf 파일로 존재
- 프리패치 파일의 이름은 해당 애플리케이션의 이름 다음에 "-"을 표시하고 그 뒤에 애플리케이션 경로의 해시 값인 16진수를 붙여서 생성
- 레지스트리의 특정한 키를 통하여 프리패칭의 활성/비활성을 제어할 수 있으며 비활성으로 설정하면 프리패치 파일이 더 이상 생성되지 않음
윈도우의 복원 지점
- 시스템이 다시 시작되면 시스템 복원 지점과 관련된 change.log 파일에 순차 번호(change.log 파일의 이름이 change.log.1로 변경)가 추가되고 새로운 change.log 파일이 생성
- 시스템 복원 지점은 레지스트리 스냅샷 파일을 생성
pagefile.sys
- 시스템 드라이브 경로에 존재하는 가상 메모리 파일
- 메모리 상태에 존재했던 데이터가 존재
- 기본적으로 시스템을 종료해도 삭제되지 않고 다시 시스템이 부팅되면 해당 파일에 관련된 데이터를 덮어씀
하이버네이션 기능
- 시스템이 절전 모드로 전환될 때 메모리의 내용을 hiberfil.sys 파일로 저장하는 기능
윈도우 레지스트리를 통하여 확인할 수 없는 정보
- 실행된 응용 프로그램의 경로, 실행 횟수, 최초 실행 시각 정보
바로가기 파일
- 바로가기 파일은 그 자체가 완벽한 하나의 파일로 파일 시스템에 MFT 엔트리와 실제 데이터 영역이 존재
- 바로가기 파일은 윈도우 설치 시, 설치 후, 애플리케이션 설치 시 자동으로 생성되고 사용자가 직접 생성하기도 함
- 바로가기 파일 내부에는 원본 파일의 생성 시간, 접근 시간, 수정 시간, 크기 등이 저장되어 있음
'디지털 포렌식 (Forensic) > 디지털포렌식전문가 2급 필기' 카테고리의 다른 글
| [디지털포렌식] 2-2-7. Linux 기반 시스템 (0) | 2020.10.13 |
|---|---|
| [디지털포렌식] 2-2-6. UNIX 기반 시스템 (0) | 2020.10.13 |
| [디지털포렌식] 2-2-4. 운영체제의 기능 (0) | 2020.10.12 |
| [디지털포렌식전문가 2급 필기] 2-2-3. 컴퓨터 환경별 운영체제 (0) | 2020.10.12 |
| [디지털포렌식전문가 2급 필기] 2-2-2. 운영체제의 분류 (0) | 2020.10.12 |