이 글은 윈도우 레지스트리와 윈도우 아티팩트를 설명한다.
아티팩트 : 운영체제나 애플리케이션을 사용하면서 생성되는 흔적
Windows 시스템은 출시 버전에 따라 폴더 이름과 구조가 조금씩 다른 부분이 있지만 호환성을 위해 유사한 형태다.
디지털 포렌식 분석을 위해 시스템 폴더 구조와 각 폴더의 파일들 특성을 이해해야만 한다.
Windows XP 이하
- C:\Documents and Settings[User ID]\
Windows Vista 버전 이상
- C:\Users[User ID]\
Documents and Settings 또는 Users 폴더에는 사용자 계정 별 프로필 설정과 데이터가 저장된다. 해당 폴더 하위에는 각각 사용자 계정 별 폴더가 있으며, 각 계정 폴더 하위에는 계정 별 바탕화면, 즐겨찾기, 내문서 등 환경정보 파일 별 폴더가 있다. Vista 버전부터는Users 디렉터리 하위에 사용자 계정 별 데이터를 관리한다. 호환성을 위해 C:\Users 폴더에 연결된 C:\Documents and Settings\폴더가 심볼릭 링크(Symbolic Link)형태로 있다.
C:\Users\[User ID]\ 하위 폴더는 모든 사용자들이 공통적으로 가지는 바탕화면과 시작메뉴 정보가 있다.
- Application Data
- 애플리케이션 별 데이터- 응용 소프트웨어 개발자가 사용자 프로필 폴더에 저장할 데이터를 결정
- AppData
- Vista 이전 버전은 Application Data폴더 하위 폴더에 Local, LocalLow, Roaming 폴더 존재- Local : 다른 컴퓨터에서 로그인 시 Roaming 하기 적합하지 않은 데이터 저장에 사용
- LocalLow : Integrity Level이 낮아도 사용할 수 있는 폴더. 보안 위협이 큰 프로그램이 임시 파일을 저장하거나 기록할 수 있는 경로로 사용됨
- Roaming : Active Directory환경에서 다른 컴퓨터에 로그인 시 동기화가 필요한 사용자 계정 프로필, 환경 설정 등의 파일 저장경로
- $RECYCLE.BIN\
휴지통 폴더
각 파일시스템에 사용자 SID별로 폴더가 있다.
사용자 SID는 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList 레지스트리로 확인 가능하다.
D 드라이브
C 드라이브
SID : 보안 식별자로서 각 사용자 식별 고유 번호
사용자 계정과 매핑 하려면 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList 레지스트리 키와 하위키를 참조하면 된다. 시스템 모든 사용자 프로파일 정보와 Windows시스템에 등록된 로컬 사용자, 도메인 사용자 등에 관한 정보가 저장된 데이터 베이스.
사용자 식별 고유 번호로 휴지통을 생성하고 다른 사용자 휴지통 접근 시 OS가 고유 번호를 확인해 접근 할 수 없다.
