Windows 레지스트리의 하이브는 레지스트리 키, 레지스트리 하위 키 및 레지스프리값을 포함하는 개념이며 하이브로 간주되는 모든 키는 "HKEY"로 시작하며 루트 또는 레지스트리의 최상위에 있으며 루트키 또는 핵심 시스템 하이브라고 한다. 아래의 그림과 같이 설치한 프로그램의 정보도 알수 있는 하나의 예이다.
- HIVE Information
* HEKY_CLASS_ROOT: 파일확장자와 애플리케이션의 파일연관성과 COM 정보
* HEKY_CURRENT_USER: 현재 시스템에 로그인되어있는 사용자 정보 및 관련 시스템 정보
* HEKY_LOCAL_MACHINE: 시스템의 하드웨어 및 소프트웨어 정보
* HEKY_USERS: 시스템에 로드된 모든 사용자 정보
* HEKY_CURRENT_CONFIG: 시스템 시작할 때 이용되는 하드웨어 프로파일
레지스트리 하이브는 하나의 파일이 아닌 여러 개의 파일이 저장되어 있음.
- 레지스트리 하이브의 지원 파일
* HEKY_CURRENT_CONFIG: System, System.alt, System.log, System.sav
* HEKY_CURRENT_USER: Ntuser.dat, Ntuser.dat.log
* HEKY_LOCAL_MACHINE\SAM: Sam, Sam.log, Sam.sav
* HEKY_LOCAL_MACHINE\Security: Security, Security.log, Software.sav
* HEKY_LOCAL_MACHINE\System: System, System.alt, System.log, System.sav
* HEKY_USERS\DEFAULT: Default, Default.log, Default.sav
- Registry File Path
\HEKY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist
레지스트리 파일은 라이브 상태에서 운영체제가 점유하고 있어 복사가 되지 않는다.
포렌식 도구 중 ftk imager 및 레지스트리 프로그램인 REGA tool을 이용하여 볼수 있다.
추후에 위 프로그램 사용법에 관하여 포스팅 해볼까 합니다.
다음 시간에는 레지스트리 내부구조에 대해서 포스팅 하도록 하겠습니다.
그럼 다음에 보자~~^^
'컴퓨터개론 > Windows' 카테고리의 다른 글
| Registry(TimeZone Information) (0) | 2023.03.24 |
|---|---|
| Rigistry(System Information) (0) | 2023.03.21 |
| 레지스트리 내부구조 (0) | 2023.03.16 |
| Registry Analysis(1) (0) | 2023.03.12 |
| Windows 환경 변수 설정 방법 (0) | 2023.03.11 |