Windows Registry Forensics

Size: px
Start display at page:

Download "Windows Registry Forensics"

Transcription

1 레지스트리포렌식 & 보안 JK

2 개요 1. 레지스트리소개 2. 레지스트리획득 3. 레지스트리내부 4. 레지스트리복구 5. 레지스트리분석 6. 레지스트리도구 7. 레지스트리분석예제 8. 레지스트리보안 2

3 레지스트리소개 Security is a people problem 3

4 레지스트리소개 레지스트리소개및분석의필요성 윈도우레지스트리 (Windows Registry) 마이크로소프트윈도우운영체제에서운영체제와응용프로그램운영에필요한정보를저장하기위해고안한 계층형데이터베이스 ( 부팅과정부터로그인, 서비스실행, 응용프로그램실행, 사용자행위등모든활동에관여함 윈도우 3.11, 9x, Me, NT, 2000, XP, 2003, Vista, 2008, 7 에서사용 레지스트리포렌식분석의필요성 윈도우시스템분석의필수요소 운영체제정보, 사용자계정정보, 시스템정보, 응용프로그램실행흔적, 최근접근문서등 자동실행항목 (Autoruns) 분석, 악성코드탐지 저장매체사용흔적분석 ( 하드디스크, CD-ROM, USB 등 ) 사용자 / 시스템 / 저장매체사용흔적분석 추가적인포렌식분석대상선별 4

5 레지스트리소개 레지스트리분석의포렌식관점 온라인 (On-line) 레지스트리분석 활성시스템에서의레지스트리분석 RegEdit(regedit.exe), RegEdt32(regedt32.exe) 를통해확인가능 ( 오프라인 (Off-line) 레지스트리분석 비활성시스템 ( 포렌식복제드라이브나이미지 ) 에서의레지스트리분석 레지스트리하이브 (Hive) 파일의수집이필요 운영체제버전별하이브파일의정확한위치를사전에숙지 포렌식분석은대부분오프라인레지스트리분석을대상으로함 5

6 레지스트리소개 하이브 (Hive) 파일이란? 하이브파일 레지스트리정보를저장하고있는물리적인파일 키 (Key) 값들이논리적인구조로저장 활성시스템의커널에서하이브파일을관리 일반적인방법으로는접근불가 하이브셋 (Hive Set) 활성시스템의레지스트리를구성하는하이브파일목록 SAM, SECURITY, SYSTEM, SOFTWARE, Default, NTUSER.DAT, Usrclass.dat, BCD, COMPONENTS 등 6

7 레지스트리소개 레지스트리데이터형식 Key Value Data Type Data 7

8 레지스트리소개 레지스트리루트키 Root Key 8

9 레지스트리소개 레지스트리루트키 HKEY_CLASSES_ROOT 파일연관성과 COM(Component Object Model) 객체등록정보 HKEY_CURRENT_USER 현재시스템에로그인된사용자의사용자프로파일정보 HKEY_LOCAL_MACHINE 시스템의하드웨어, 소프트웨어설정및다양한환경정보 HKEY_USERS 시스템의모든사용자와그룹에관한프로파일정보 HKEY_CURRENT_CONFIG 시스템이시작할때사용되는하드웨어프로파일정보 HKEY_PERFORMANCE_DATA 성능정보를저장 9

10 레지스트리소개 레지스트리루트키구성정보 루트키약어설명 HKEY_CLASSES_ROOT HKCR HKLM\SOFTWARE\Classes 와 HKU\<SID>\Classes 모음 HKEY_CURRENT_USER HKCU HKU 아래사용자프로파일중현재로그인한사용자의하위키 HKEY_LOCAL_MACHINE HKLM 시스템에존재하는하이브파일과메모리하이브모음 HKEY_USERS HKU 사용자루트폴더에존재하는 NTUSER.DAT 파일의내용 HKEY_CURRENT_CONFIG HKCC HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current 의내용 HKEY_PERFORMANCE_DATA HKPD 성능카운트 ( 레지스트리편집기를통해접근불가, 레지스트리함수로만접근 ) 10

11 레지스트리소개 HKEY_CLASSES_ROOT (HKCR) 하위키구성 별도의하이브를가지지않고다른루트키의하위키로구성됨 HKLM\SOFTWARE\Classes + HKU\<SID>_Classes 11

12 레지스트리소개 HKEY_CLASSES_ROOT (HKCR) 어플리케이션바인딩 ( 12

13 레지스트리소개 HKEY_CLASSES_ROOT (HKCR) 어플리케이션바인딩 ( 13

14 레지스트리소개 HKEY_CLASSES_ROOT (HKCR) 어플리케이션바인딩 ( 14

15 레지스트리소개 HKEY_CURRENT_USER (HKCU) 하위키구성 HKU (HKEY_USERS) 아래의프로파일중현재로그인한사용자의하위키 15

16 레지스트리소개 HKEY_CURRENT_USER (HKCU) 하위키내용 하위키 AppEvents CLSID 설명 사운드, 이벤트관련키 COM 객체연결정보 Console 명령프롬프트윈도우설정정보 ( 가로, 세로크기, 색상등 ) ControlPanel Environment EUDC Identities Keyboard Layout Network Printers Session Information Software System UNICODE Program Groups Volatile Environment 데스크탑테마, 키보드 / 마우스세팅등의환경설정정보환경변수정의최종사용자가정의한문자정보윈도우메일계정정보키보드레이아웃설정정보네트워크드라이브매핑정보, 환경설정값프린트연결설정작업표시줄에표시되는현재실행되는프로그램설정로그인한사용자소프트웨어목록 HKLM/SYSTEM 하위키의일부 (Control, Policies, Services) 로그인한사용자시작메뉴그룹정의휘발성환경변수 16

17 레지스트리소개 HKEY_LOCAL_MACHINE (HKLM) 하위키구성 시스템의다양한하드웨어, 소프트웨어, 환경설정정보 HKLM 하위키 HKLM\BCD (Vista/7) HKLM\COMPONENTS (Vista/7) HKLM\HARDWARE HKLM\SAM HKLM\SECURITY HKLM\SOFTWARE HLLM\SYSTEM 하이브파일위치 {Boot Partition}\Boot\BCD {Boot Partition}\Boot\BCD.LOG {Boot Partition}\Boot\BCD.LOG1 {Boot Partition}\Boot\BCD.LOG2 %SystemRoot%\System32\config\COMPONENTS %SystemRoot%\System32\config\COMPONENTS.LOG %SystemRoot%\System32\config\COMPONENTS.LOG1 %SystemRoot%\System32\config\COMPONENTS.LOG2 Volatile hive %SystemRoot%\System32\config\SAM %SystemRoot%\System32\config\SAM.LOG %SystemRoot%\System32\config\SAM.LOG1 %SystemRoot%\System32\config\SAM.LOG2 %SystemRoot%\System32\config\SECURITY %SystemRoot%\System32\config\SECURITY.LOG %SystemRoot%\System32\config\SECURITY.LOG1 %SystemRoot%\System32\config\SECURITY.LOG2 %SystemRoot%\System32\config\SOFTWARE %SystemRoot%\System32\config\SOFTWARE.LOG %SystemRoot%\System32\config\SOFTWARE.LOG1 %SystemRoot%\System32\config\SOFTWARE.LOG2 %SystemRoot%\System32\config\SYSTEM %SystemRoot%\System32\config\SYSTEM.LOG %SystemRoot%\System32\config\SYSTEM.LOG1 %SystemRoot%\System32\config\SYSTEM.LOG2 17

18 레지스트리소개 HKEY_LOCAL_MACHINE (HKLM) 하위키내용 BCD Boot Configuration Data 관리 (XP 의 Boot.ini 대체 ) COMPONENTS 설치된 Components 와관련된정보관리 HARDWARE 시스템하드웨어디스크립션과모든하드웨어의장치드라이버매핑정보 (Volatile hive) SAM 로컬계정정보와그룹정보 ( 시스템계정만접근가능 ) SECURITY 시스템보안정책과권한할당정보 ( 시스템계정만접근가능 ) SOFTWARE 시스템부팅에필요없는시스템전역구성정보 ( 소프트웨어정보 ) SYSTEM 시스템부팅에필요한시스템전역구성정보 부팅시 HKLM\SYSTEM 하이브는물리메모리로로드되기때문에하이브파일크기에제한 18

19 레지스트리소개 HKEY_LOCAL_MACHINE (HKLM) HKLM\SYSTEM\CurrentControlSet 디바이스드라이버와서비스등의시스템환경설정정보 ControlSet00N 에대한링크 Select 키의 Current 값에따라현재사용중인 ControlSet 확인 19

20 레지스트리소개 HKEY_USERS (HKU) 하위키구성 모든사용자의프로파일과사용자클래스등록정보 HKU 하위키 HKU\<LocalServices SID> HKU\<NetworkServices SID> HKU\<User SID> HKU\<User SID>_Classes 하이브파일위치 XP %UserProfile%\LocalService\NTUSER.DAT Vista/7 - %SystemRoot%\ServiceProfiles\LocalService\NTUSER.DAT XP %UserProfile%\NetworkService\NTUSER.DAT Vista/7 - %SystemRoot%\ServiceProfiles\NetworkService\NTUSER.DAT XP %UserProfile%\<UserName>\NTUSER.DAT Vista/7 - %UserProfile%\NTUSER.DAT XP %UserProfile%\<UserName>\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Vista/7 %UserProfile%\AppData\Local\Microsoft\Windows\UsrClass.dat HKU\.DEFAULT %SystemRoot%\System32\Config\DEFAULT 20

21 레지스트리소개 HKEY_CURRENT_CONFIG (HKCC) 하위키구성 별도의하이브파일을가지지않음 현재활성화되어있는하드웨어프로파일정보참조 HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current 의링크 21

22 레지스트리소개 HKEY_PERFORMANCE_DATA (HKPD) HKPD 성능카운터 ( 시스템의성능을측정하여관리하는메커니즘 운영체제, 응용프로그램에서활용 레지스트리편집기를통해접근불가 RegQueryValueEx() 와같은레지스트리함수를통해접근가능 22

23 레지스트리소개 Transactional Registry (TxR) 트랜잭션레지스트리 (TxR) ( Vista 이전레지스트리에서는트랜잭션동작을관리하기어려웠음 Vista 부터 KTM(Kernel Transaction Manager) 에의해오류복구가가능한트랜잭션기능사용가능 Not-Transaction API RegOpenKey RegCreateKey RegDeleteKey Transaction API RegOpenKeyTransacted RegCreateKeyTransacted RegDeleteKeyTransacted 23

24 레지스트리소개 Transactional Registry (TxR) 트랜잭션레지스트리 (TxR) 레지스트리트랜잭션정보는파일로저장 %SystemRoot%\System32\config\TxR %FILE%{%GUID%}.TM.blf %FILE%{%GUID%}.TMContainer regtrans-ms %FILE%{%GUID%}.TMContainer regtrans-ms %FILE%{%GUID%}.TxR.blf %FILE%{%GUID%}.TxR.0.regtrans-ms %FILE%{%GUID%}.TxR.1.regtrans-ms %FILE%{%GUID%}.TxR.2.regtrans-ms 24

25 레지스트리소개 Transactional Registry (TxR) 트랜잭션레지스트리 (TxR) 로그정보는 TxR.{0 1 2}.regtrans-ms 파일에저장 ( 기본 5MB) Header Block Data Block 25

26 레지스트리획득 Security is a people problem 26

27 레지스트리획득 레지스트리파일 ( 하이브 ) 획득방안 온라인하이브파일획득 일반적으로레지스트리파일은커널에서열고있기때문에획득불가능 직접파일시스템을해석하거나 DeviceIoControl() API 를이용하여획득 하이브목록확인 HKLM\SYSTEM\CurrentControlSet\Control\hivelist 오프라인하이브파일획득 복제한저장매체혹은이미징데이터에서하이브파일추출 각운영체제버전별하이브파일위치확인필요 %SystemRoot%\System32\Config %UserProfile% 목록확인 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList 27

28 레지스트리획득 하이브파일위치 하이브레지스트리경로 레지스트리경로 HKEY_LOCAL_MACHINE\BCD HEKY_LOCAL_MACHINE\COMPONENTS HEKY_LOCAL_MACHINE\SYSTEM HEKY_LOCAL_MACHINE\SAM HEKY_LOCAL_MACHINE\SECURITY HEKY_LOCAL_MACHINE\SOFTWARE HEKY_LOCAL_MACHINE\HARDWARE HKEY_USERS\<SID of local service account> HKEY_USERS\<SID of network service account> HKEY_USERS\<SID of username> HKEY_USERS\<SID of username>_classes HKEY_USERS\.DEFAULT 하이브파일경로 {Boot Partition}\Boot\BCD %SystemRoot%\System32\Config\COMPONENTS %SystemRoot%\System32\Config\SYSTEM %SystemRoot%\System32\Config\SAM %SystemRoot%\System32\Config\SECURITY %SystemRoot%\System32\Config\SOFTWARE Volatile %SystemRoot%\ServiceProfiles\LocalService\NTUSER.DAT %SystemRoot%\ServiceProfiles\NetworkService\NTUSER.DAT %UserProfile%\NTUSER.DAT %UserProfile%\AppData\Local\Microsoft\Windows\Usrclass.dat %SystemRoot%\System32\Config\DEFAULT 28

29 레지스트리획득 백업및로그하이브 백업되거나로그로생성된하이브파일 운영체제에의해하이브파일은백업되거나관련로그가생성됨 백업하이브 - %SystemRoot%\System32\config\RegBack 로그하이브 %SystemRoot%\System32\config ( 기본 / 백업하이브로그 (.LOG,.LOG1,.LOG2)) 로그파일도동일한하이브구조를가짐 백업이나로그하이브파일은기존하이브파일의일부정보만저장 29

30 레지스트리획득 트랜잭션레지스트리로그획득 TxR 레지스트리로그획득 %SystemRoot%\System32\config\TxR 30

31 레지스트리획득 XP 시스템복원지점 XP 시스템복원지점에서의하이브스냅샷 시스템복원을위해레지스트리하이브파일스냅샷백업 백업된스냅샷파일은시스템복원정보저장시점의사용자흔적파악에큰도움 \System Volume Information\_restore{GUID}\RP##\snapshot 31

32 레지스트리획득 Vista/7 시스템복원지점 VSS (Volume Shadow Copy) 내의하이브백업 비스타이후부터는시스템복원지점을위해 VSS 사용 VSS 복사본에하이브데이터가저장될수있음 32

33 레지스트리획득 레지스트리온라인하이브획득도구 RegEx RegEx 활성시스템에서의레지스트리하이브파일수집도구 33

34 레지스트리내부 Security is a people problem 34

35 레지스트리내부 하이브구조 하이브블록 (Hive Block) 파일시스템클러스터와같이하이브에서사용하는논리적인할당단위 블록크기 : 4,096 바이트 새로운데이터가하이브에추가되면항상블록단위로증가 하이브의첫번째블록은베이스블록 (base block) 시그니처 ( regf ) 갱신순서번호 마지막수정시간 레지스트리복원 / 복구에관한정보 하이브포맷버전번호 체크섬 파일명 35

36 레지스트리내부 하이브구조 하이브빈 (Hive Bin) 레지스트리의논리적인크기는블록단위로증가 블록내부적으로데이터를저장하기위한 4,096 바이트의구조 레지스트리로드시하이브빈단위를기준으로로드 모든하이브빈은 hbin 이라는시그니처값으로시작 36

37 레지스트리내부 하이브구조 셀 (Cell) 하이브내의다양한데이터는셀구조로저장 (8 바이트의배수 ) 데이터유형 키셀 (Key Cell) 값셀 (Value Cell) 설명 레지스트리키가들어있는셀로시그니처, 타임스탬프, 부모키인덱스, 서브키인덱스, 키이름등을저장 키에대한값이들어있는셀로시그니처, 값유형, 값이름등이저장 하위키목록셀 (Subkey-list Cell) 부모키의모든하위키셀의인덱스목록저장 값목록셀 (Value-list Cell) 부모키의모든값셀의인덱스목록저장 데이터셀 (Data Cell) 데이터를저장하는셀 (Big Data Cell, Normal Data Cell) 보안기술자셀 (Security-descriptor Cell) 보안기술자저장 37

38 레지스트리내부 하이브구조 셀맵 (Cell Map) 레지스트리접근시매번하이브파일에접근하지않음 하이브접근을위해하이브일부분을메모리에매핑 메모리내의불연속적인하이브데이터를참조하기위해셀맵을이용한셀인덱스사용 셀인덱스 디렉터리인덱스테이블인덱스바이트오프셋 셀맵디렉터리 0 셀맵테이블 대상블록 셀 ~ ~ ~ ~ 1023 셀맵디렉터리포인트

39 레지스트리내부 하이브구조 ( Block(4KB) Block Block (Hive bin) (Hive bin) Base Block Empty Bin Root Val1 Sub Key Val2 Key Cell (Key node) Subkey-List Cell Value-List Cell Value Cell 39

40 레지스트리내부 하이브구조 Hive Header Hive Bin 1 Hive Bin 2 Hive Bin 3 Hive Bin 4... Hive Bin N 블록크기 4,096 bytes 하이브헤더 (Hive Header) 1 블록 하이브빈 (Hive Bin) 셀 (Cell) 을포함하는컨테이너가변길이의블록모든하이브빈은 hbin 이라는시그니처값으로시작레지스트리로드시하이브빈단위를기준함 셀 (Cell) 실제데이터를저장하는단위 (8 바이트의배수 ) 키 (key), 하위키목록 (subkey-list), 값 (value), 값목록 (value list), 데이터 (data), 보안기술자 (security descriptor) 등의유형이있음 40

41 레지스트리내부 예 ) HKLM\SYSTEM\MountedDevices (\DosDevices\C:) 분석 41

42 레지스트리내부 예 ) HKLM\SYSTEM\MountedDevices (\DosDevices\C:) 분석 Hive Header Hive Bin 1 Hive Bin 2 Hive Bin 3 Hive Bin 4... Hive Bin N A B C D E F 0000 r e g f seq num 1 seq num 2 Timestamp 0010 (FILETIME) major ver minor ver Type (?) 0020 Format (?) Start of Root Cell Start of last hbin Always Hive file path or name (Unicode, 64 bytes) GUID 0080 GUID 0090 Unknown GUID 00A0 Unknown 01F0 Checksum 0x20 + 0x1000 = 0x

43 레지스트리내부 예 ) HKLM\SYSTEM\MountedDevices (\DosDevices\C:) 분석 Hive Header Hive Bin 1 Hive Bin 2 Hive Bin 3 Hive Bin 4... Hive Bin N 43

44 레지스트리내부 예 ) HKLM\SYSTEM\MountedDevices (\DosDevices\C:) 분석 Hive Header Hive Bin 1 Hive Bin 2 Hive Bin 3 Hive Bin 4 Hive Bin Header Cell 1 Cell 2 Cell 3... Cell N h b i n Offset Size 0010 Timestamp offset of this hbin (+ 0x1000) 0x1000 (4096) bytes... Hive Bin N 44

45 레지스트리내부 예 ) HKLM\SYSTEM\MountedDevices (\DosDevices\C:) 분석 Hive Header Hive Bin 1 Hive Bin 2 Hive Bin 3 Hive Bin 4 Hive Bin Header Cell 1 Cell 2 Cell 3... Cell N Cell Size 0010 One of the Key (nk), Subkey-list (lf, lh, ri, li), Value (vk), Value-list, Security (sk), and Data 00XX 00XX Cell Size Negative if allocated 0xFFFFFF78 = -136 One of the Key (nk), Subkey-list (lf, lh, ri, li), Value (vk), Value-list, Security (sk), and Data... Hive Bin N

46 레지스트리내부 예 ) HKLM\SYSTEM\MountedDevices (\DosDevices\C:) 분석 Hive Header Hive Bin 1 Hive Bin 2 Hive Bin 3 Hive Bin 4 Hive Bin Header Cell 1 Cell 2 Cell 3... Cell N... Hive Bin N 46

47 레지스트리내부 예 ) HKLM\SYSTEM\MountedDevices (\DosDevices\C:) 분석 0x1020 Hive Header Hive Bin Header Key Cell A B C D E F 0000 Cell Size n k Flag Timestamp Root Key Cell... Hive Bin Header Value-list Cell... Hive Bin Header 0010 Unknown Parent key offset Num of subkeys (stable) Num of subkeys (volatile) 0020 Subkey-list offset Subkey-list offset Num of values Value-list offset 0030 Security offset Classname offset Max name length of subkeys Max classname length of subkeys 0040 Max name length of values Max value data size Unknown Keyname len Classname len Key name 0x0004 : Root, 0x0008 : cannot be deleted 0x0020 : key name is stored in ASCII Value Cell Data Cell... Hive Bin Header Key Cell 0x0011C0B8 + 0x1000 = 0x0011D0B8 Subkey-list Cell 47

48 레지스트리내부 예 ) HKLM\SYSTEM\MountedDevices (\DosDevices\C:) 분석 키플래그 (Key Flags) 플래그 0x0001 0x0002 0x0004 0x0008 0x0010 설명휘발성키다른하이브의마운트지점루트키삭제할수없는키링크된키 0x0020 키이름을 ASCII 로저장 ( 보통은 UTF-16LE 로저장 ) 0x0040 0x0080 0x1000 0x4000 미리정의된키알수없음알수없음알수없음 48

49 레지스트리내부 예 ) HKLM\SYSTEM\MountedDevices (\DosDevices\C:) 분석 Hive Header Hive Bin Header Root Key Cell... Hive Bin Header Value-list Cell... Hive Bin Header Subkey-list Cell (ri : Index Root, li: Index Leaf) Cell Size r i Num Subkey-list offset Subkey-list offset 0010 Subkey-list offset Subkey-list offset Subkey-list offset Subkey-list Cell (lf: Fast Leaf, lh: Hash Leaf) Cell Size l f Num Key (nk) offset hash value 0010 Key (nk) offset hash value Key (nk) offset hash value 0x2DD x1000 = 0x2DE398 Value Cell Data Cell... Hive Bin Header Key Cell Subkey-list Cell 49

50 레지스트리내부 예 ) HKLM\SYSTEM\MountedDevices (\DosDevices\C:) 분석 Hive Header Hive Bin Header Root Key Cell Key Cell A B C D E F 0000 Cell Size n k Flag Timestamp 0010 Unknown Parent key offset Num of subkeys (stable) Num of subkeys (volatile) 0020 Subkey-list offset Subkey-list offset Num of values Value-list offset... Hive Bin Header Value-list Cell Security cell offset Classname offset Max name length of subkeys Max classname length of subkeys 0040 Max name length of values Max value data size Unknown Keyname len Classname len Key name Hive Bin Header Value Cell Data Cell... Hive Bin Header Key Cell Subkey-list Cell 0x00D x1000 = 0x00D x0020 : key name is stored in ASCII 50

51 레지스트리내부 예 ) HKLM\SYSTEM\MountedDevices (\DosDevices\C:) 분석 Hive Header Hive Bin Header Root Key Cell Value-list Cell Cell Size Value offset Value offset Value offset 0010 Value offset Value offset Value offset... Hive Bin Header Value-list Cell... Hive Bin Header Value Cell Data Cell... 0x002DD3F8 + 0x1000 = 0x002DE3F8 Hive Bin Header Key Cell Subkey-list Cell 51

52 레지스트리내부 예 ) HKLM\SYSTEM\MountedDevices (\DosDevices\C:) 분석 Hive Header Hive Bin Header Root Key Cell... Value Cell A B C D E F 0000 Cell Size v k Name len Data length Data offset 0010 Data Type Flag Unknown 0020 Value Name Hive Bin Header Value-list Cell 0x002DD x1000 = 0x002DE Hive Bin Header Value Cell Data Cell... Hive Bin Header 0x0001 : value name is stored in ASCII, otherwise it is in Unicode Key Cell Subkey-list Cell 52

53 레지스트리내부 예 ) HKLM\SYSTEM\MountedDevices (\DosDevices\C:) 분석 데이터형식 (Data Type) 값 이름 설명 0x00 REG_NONE 형식없음 0x01 REG_SZ UTF-16 문자열 0x02 REG_EXPAND_SZ 시스템경로로사용하는 UTF-16 문자열 ( 예, %SYSTEMROOT% ) 0x03 REG_BINARY 이진데이터 0x04 REG_DWORD 32비트정수 0x04 REG_DWORD_LITTLE_ENDIAN 32비트정수 0x05 REG_DWORD_BIG_ENDIGN 32비트빅엔디안정수 0x06 REG_LINK 심볼릭링크 0x07 REG_MULTI_SZ NULL로끝나는유니코드문자열배열 0x08 REG_RESOURCE_LIST 하드웨어리소스설명 0x09 REG_RESOURCE_DESCRIPTOR 하드웨어리소스설명 0x0A REG_RESOURCE_REQUIREMENTS_LIST 리소스요구사항 0x0B REG_QWORD 64비트정수 0x0B REG_QWORD_LITTTLE_ENDIAN 64비트정수 53

54 레지스트리내부 예 ) HKLM\SYSTEM\MountedDevices (\DosDevices\C:) 분석 Hive Header Hive Bin Header Root Key Cell... Hive Bin Header Value-list Cell... Hive Bin Header Value Cell Big Data Cell Version 1.4 or later, Data size > bytes Cell Size d b Num of frag Indirect cell offset Unknown Big Data Indirect Cell Cell Size Data offset Data offset Data offset Data offset (Normal) Data Cell Cell Size Data Data Cell... Hive Bin Header Key Cell Subkey-list Cell 54

55 레지스트리복구 Security is a people problem 55

56 레지스트리복구 레지스트리복구분류 삭제된레지스트리복구 레지스트리하이브내부로부터삭제된레지스트리복구 윈도우레지스트리 API 를이용해서키 (key) 를삭제하는경우해당키와관련된링크정보만삭제 해당키와관련된실제데이터는하이브파일내의비할당영역에그대로유지됨 레지스트리데이터카빙 물리메모리로부터레지스트리데이터카빙 커널영역에레지스트리데이터에대한캐쉬영역존재 물리적인하이브파일과매핑되어있음 응용프로그램수행과정에서사용된 ( 생성 / 읽기 / 쓰기 / 삭제 ) 레지스트리정보는레지스트리에존재 각프로세스영역을통해특정프로세스가사용한레지스트리정보확인 저장매체의비할당영역으로부터레지스트리데이터카빙 파일시스템포맷으로인해이전시스템의레지스트리데이터가저장매체의비할당영역에존재할가능성 시스템복원지점생성시레지스트리복사후폴더압축에의해비할당영역에존재할가능성 (2000/XP) 56

57 레지스트리복구 물리메모리카빙 CMHIVE 카빙 ( 레지스트리하이브는메모리에서 CMHIVE 구조로표현 ( CHHIVE 구조를카빙하여레지스트리정보를획득 Volatility Plugin ( (1.4 버전부터포함 ) hivescan hivelist printkey hashdump lasdump cachedump 57

58 레지스트리복구 파일시스템비할당영역카빙 레지스트리시그니처카빙 ( /2009/Carving%20the%20windows%20registry%20files%20based%20on%20the%20internal%20structure.PDF) 레지스트리를구성하는블록, 빈, 셀등은고유한시그니처를가짐 비할당영역으로부터시그니처를카빙후레지스트리구조재구성 레지스트리구조 Hive Hive Bin Key Node Key Link Key Value Key Security Folder List Hash List Index List Index recursive 시그니처 regf hbin nk lk vk sk lf lh li ri 58

59 레지스트리복구 레지스트리하이브내의비할당영역카빙 레지스트리시그니처카빙 레지스트리를구성하는셀 (key, key-list, value, value-list, data 등 ) 은고유한시그니처를가짐 하이브파일내의비할당영역에대해서레지스트리시그니처카빙 정상적으로존재하는데이터와의연결관계를분석하여, 삭제된항목연결 REGA ( 59

60 Security is a people problem 60

61 레지스트리디지털포렌식분석 레지스트리분석의디지털포렌식적의미 윈도우설치정보와계정정보등확인가능 윈도우부팅시자동실행되는응용프로그램목록확인가능 악성코드분석 최근사용한파일, 실행프로그램등의사용자활동내역확인가능 응용프로그램설치정보와사용내역등확인가능 시스템에사용한하드웨어정보확인가능 추가적인포렌식분석대상선별가능 윈도우포렌식분석의필수요소 61

62 시스템정보 (1/5) 기본시스템정보 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion 활성정보수집시 systeminfo 명령을사용 C:\> systeminfo 62

63 시스템정보 (2/5) 기본시스템정보 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion ProductName 운영체제이름 Owner 사용자이름 Organization 조직이름 ProductId 운영체제식별자 BuildLab(Ex) 운영체제세부버전 InstallDate 운영체제설치날짜 ( 유닉스시간형식 ) SystemRoot 운영체제설치루트폴더 63

64 시스템정보 (3/5) 컴퓨터이름 HKLM\SYSTEM\ControlSet00X\Control\ComputerName\ActiveComputerName ComputerName 시스템등록정보에등록된컴퓨터이름 64

65 시스템정보 (4/5) 컴퓨터이름 HKLM\SYSTEM\ControlSet00X\Control\ComputerName\ActiveComputerName ComputerName 시스템등록정보에등록된컴퓨터이름 65

66 시스템정보 (5/5) 시스템마지막종료시각 HKLM\SYSTEM\ControlSet00X\Control\Windows ShutdownTime 마지막종료시각저장 66

67 표준시간대와날짜변경흔적 표준시간대 HKLM\SYSTEM\ControlSet00X\Control\TimeZoneInformation UTC/GMT 표준시간대 썸머타임관련정보 67

68 표준시간대와날짜변경흔적 날짜변경흔적 (2000/XP/Vista) HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\ { EF1F-11D DEACF9}\Count 날짜및시간등록정보대화상자가활성화된횟수 68

69 표준시간대와날짜변경흔적 날짜변경흔적 (2000/XP/Vista) HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\ { EF1F-11D DEACF9}\Count HRZR_EHAPCY:gvzrqngr.pcy ROT-13: UEME_RUNCPL:timedata.cpl 4 7 : 작업표시줄을통해대화상자를연횟수 ( 초기값 5) 8 15 : 대화상자가마지막으로열린시각 ( 변경된시각을의미하지는않음 ) 69

70 응용프로그램정보 (1/12) 응용프로그램사용로그 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist 2000/XP/Vista {5E6AB CF-A12B-00AA004AE837}\Count { EF1F-11D DEACF9}\Count 7 {CEBFF5CD-ACE2-4F4F F41749EA}\Count {F4E57C4B F0-A9AB-443BCFE33D9F}\Count 70

71 응용프로그램정보 (2/12) 응용프로그램사용로그 (ROT-13 인코딩 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count 71

72 응용프로그램정보 (3/12) 응용프로그램사용로그 ROT-13 인코딩 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z DFRC QSEP 72

73 응용프로그램정보 (4/12) 응용프로그램사용로그 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count 응용프로그램종류, 최종실행시각, 실행횟수, 세션아이디확인가능 73

74 응용프로그램정보 (5/12) 응용프로그램사용로그 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count 2000/XP/Vista 로그포맷 0 3 : 세션번호 4 7 : 응용프로그램실행횟수 ( 초기값 5) 8 15 : 응용프로그램마지막실행시간 74

75 응용프로그램정보 (6/12) 응용프로그램사용로그 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count 7 로그포맷 0 3 : 세션번호 4 7 : 응용프로그램실행횟수 ( 초가값은응용프로그램에따라다름 ) : 응용프로그램마지막실행시간 75

76 응용프로그램정보 (7/12) 그림판에서열어본파일목록 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\Paint\Recent File List File# 숫자가낮을수록최근에열어본파일 ( 그림판을종료하는시점에값저장 ) 76

77 응용프로그램정보 (8/12) 워드패드에서열어본파일목록 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\wordpad\Recent File List File# 숫자가낮을수록최근에열어본파일 ( 워드패드를종료하는시점에값저장 ) 77

78 응용프로그램정보 (9/12) MS OFFICE 사용흔적 ( 최근열린폴더 HKU\{USER}\SOFTWARE\Microsoft\Office\{VERSION}\{APP}\Place MRU 최근사용한파일 HKU\{USER}\SOFTWARE\Microsoft\Office\{VERSION}\{APP}\File MRU(Recent Files) 각응용프로그램및버전별로다양한흔적저장 최근열린폴더, 최근사용한파일, 최근사용한페이지, 최근접근한 URL 등등 78

79 응용프로그램정보 (10/12) 한글사용흔적 최근사용한파일 한글 2005 HKU\{USER}\SOFTWARE\HNC\Hwp\6.5\RecentFile 한글 2007 HKU\{USER}\SOFTWARE\HNC\Hwp\7.0\HwpFrame\RecentFile 한글 2010 HKU\{USER}\SOFTWARE\HNC\Hwp\8.0\HwpFrame\RecentFile 찾기 / 바꾸기목록 HKU\{USER}\SOFTWARE\HNC\Hwp\FindReplace\Find 79

80 응용프로그램정보 (11/12) 곰플레이어사용흔적 HKU\{USER}\SOFTWARE\GRETECH\GomPlayer\OPTION 최근열린폴더, 최근사용한파일목록, 다양한설정정보저장 80

81 응용프로그램정보 (12/12) 다양한응용프로그램사용흔적 WinRAR Archive History HKU\{USER}\SOFTWARE\WinRAR\ArcHistory HKU\{USER}\SOFTWARE\WinRAR\DialogEditHistory\ArcName XP MediaPlayer Recent Files HKU\{USER}\SOFTWARE\Microsoft\MediaPlayer\Player\RecentFileList XP MediaPlayer Recent URLs HKU\{USER}\SOFTWARE\Microsoft\MediaPlayer\Player\RecentURLList Adobe Acrobat Reader HKU\{USER}\SOFTWARE\Adobe\Adobe Acrobat\{version}\AVGeneral\cRecentFiles HKU\{USER}\SOFTWARE\Adobe\Acrobat Reader\{version}\AVGeneral\cRecentFiles 81

82 사용자계정정보 (1/7) 시스템사용자목록 HKLM\SAM\SAM\Domains\Account\Users\{RID} 각사용자의계정정보는 Users 의하위키인 {RID}(R = Relative, ID = ID) 폴더의 F, V 값에저장 82

83 사용자계정정보 (2/7) 시스템사용자목록 HKLM\SAM\SAM\Domains\Account\Users\{RID} F 값에저장되는계정정보 최종로그인시각 패스워드재설정시각 계정만료시각 로그인실패시각 RID (SID 의마지막식별부분 ) 계정상태정보 ( 활성화 / 비활성, 패스워드설정 / 비설정 ) 국가코드 ( 국제전화에사용되는코드 ) 로그인실패횟수 로그인성공횟수 83

84 사용자계정정보 (3/7) 시스템사용자목록 HKLM\SAM\SAM\Domains\Account\Users\{RID} V 값에저장되는계정정보 로그인계정이름 전체이름 계정설명 LM 해쉬 NT 해쉬 84

85 사용자계정정보 (4/7) 시스템사용자프로필목록 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\{SID} 하위키인사용자 {SID} 별로사용자프로필정보저장 85

86 사용자계정정보 (5/7) 시스템사용자프로필목록 SID(Security Identifier, 보안식별자 ) S SID 구분 S 설명 SID 를나타내는식별자 1 SID 세부버전 5 권한식별자 도메인이나로컬컴퓨터식별자 1000 RID(Relative ID) 로관리자계정은 500, 사용자계정은 1000 번이상의값을가짐 권한식별자 (Authority Identifier) 0 Null Authority 4 Non-unique Authority 1 World Authority 5 NT Authority 2 Local Authority 9 Resource Manager Authority 3 Creator Authority 86

87 사용자계정정보 (6/7) 마지막으로로그인한사용자 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon DefaultUserName 값이마지막으로로그인한사용자를나타냄 87

88 사용자계정정보 (7/7) 사용자별기본경로 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 각사용자별기본경로저장 88

89 윈도우검색정보 (1/5) 2000/XP 검색어목록 HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\#### 윈도우 2000/XP 탐색기에서검색을사용할경우검색어목록 89

90 윈도우검색정보 (2/5) 2000/XP 검색어목록 HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\#### 인터넷검색 HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\5001 모든파일및폴더검색 HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\5603 파일에들어있는단어나문장 / 그림, 음악또는비디오검색 HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\5604 프린터, 컴퓨터또는사람 / 네트워크에있는컴퓨터 / 컴퓨터찾기검색 HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\

91 윈도우검색정보 (3/5) 2000/XP 검색어목록 HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\5603 번호가낮을수록최근에검색한검색어 91

92 윈도우검색정보 (4/5) 7 검색어목록 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery 윈도우 7 탐색기에서검색을사용할경우검색어목록 참고로 Vista 의경우검색어목록을레지스트리에저장하지않음 92

93 윈도우검색정보 (5/5) 7 검색어목록 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery MRUListEx 키값을통해검색어사용순서확인 10 0F 0E 0D 0C 0B 0A

94 최근접근흔적 (1/2) 최근에열어본파일 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs 최근에열었던문서, 그림, 음악, 동영상등의파일 2000/XP My Recent Documents Vista/7 Recent Items 94

95 최근접근흔적 (2/2) 최근에열어본파일 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs MRUListEx 키값을통해열어본순서확인 95

96 최근실행흔적 (1/2) 최근에실행한명령 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU 시작 실행 또는 Ctrl + R 를통해실행한명령목록 96

97 최근실행흔적 (2/2) 최근에실행한명령 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU 최근실행한명령순서는 MRUList 의알파벳순서 dieajbhgfc Mspaint calc regedit cmd regedt32 97

98 USB 장치연결정보 (1/12) USB 저장매체인식절차 1. USB 저장매체가연결되면버스드라이버는 PnP 관리자에게 장치의고유한식별번호 (device descriptor) 를사용하여연결알림 device descriptor 제조사, 일련번호, 드라이버정보등을포함 2. PnP 관리자는받은정보를기반으로 Device Class ID 를설정하고적절한드라이버검색 3. 드라이버가없을경우사용자모드의 PnP 관리자는해당장치의펌웨어로부터드라이버를전달받아로드하고레지스트리에기록 HKLM\SYSTEM\ControlSet00X\Enum\USBSTOR\{DID, device class identifier} HKLM\SYSTEM\ControlSet00X\Control\DeviceClasses\{GUID} 4. 장치드라이버설치과정은로그파일에저장 결과적으로로그파일 (setupapi.log) 및레지스트리를통해 USB 장치의흔적파악가능 98

99 USB 장치연결정보 (2/12) 레지스트리키마지막수정시간정보확인시주의사항 각레지스트리키에는해당키의마지막수정시간이저장 마지막수정시간정보를활용하여 USB 의다양한흔적파악가능 단, Enum\USB, Enum\USBSTOR 하위키의시간은고려되지않아야함 보안정책에의해 ( 윈도우 Vista/7) PnP 관리자가하위키보안토큰설정을위해수시로접근 RegSetKeySecurity API 호출 마지막수정시간변경 99

100 USB 장치연결정보 (3/12) SetupAPI Logging 2000/XP %SystemRoot%\Setupapi.log Vista/7 %SystemRoot%\inf\Setupapi.dev.log Device Class ID Disk&Ven_Corsair&Prod_UFD&Rev_0.00 Unique Instance ID ddf08fb7a86075&0 Section Start 2010/12/13 01:32:

101 USB 장치연결정보 (4/12) DID(Device class ID), UID(Unique Instance ID) 형식 Device Class ID Disk&Ven_Corsair&Prod_UFD&Rev_0.00 Disk & Ven_????? & Prod_????? & Rev_???? Disk & Ven_{ 제조사명 } & Prod_{ 제품명 } & Rev_{ 버전번호 } Unique Instance ID ddf08fb7a86075&0????????????? & # 시리얼번호가있는경우 { 시리얼번호 } & # # &??????????? & # # & {PnP 관리자생성번호 } & # 시리얼번호가없는경우 101

102 USB 장치연결정보 (5/12) 저장매체정보 HKLM\SYSTEM\ControlSet00X\Enum\USBSTOR Device Class ID 형식을통해제조사, 제품명, 버전정보확인 102

103 USB 장치연결정보 (6/12) 시리얼번호 HKLM\SYSTEM\ControlSet00X\Enum\USBSTOR\{Device Class ID} Device Class ID 하위키의 Unique Instance ID 형식을통해시리얼번호확인 103

104 USB 장치연결정보 (7/12) 제조사 ID, 제품 ID HKLM\SYSTEM\ControlSet00X\Enum\USB VID_####&PID_#### 제조사 ID, 제품 ID 104

105 USB 장치연결정보 (8/12) 연결된볼륨명 HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices 하위키중제품명또는시리얼번호를포함하는키검색 FriendlyName 장치명이설정된경우 설정한장치명 장치명이설정되지않은경우 연결된볼륨명 105

106 USB 장치연결정보 (9/12) 최초연결시각 HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices 하위키중제품명또는시리얼번호를포함하는키검색 해당키의마지막수정시간 (Last Written Time) 장치명이설정된경우 장치명을변경하지않는다면최초연결시간유지 장치명이설정되지않은경우 연결된볼륨명이변경되지않고계속사용되면최초연결시간유지 106

107 USB 장치연결정보 (10/12) 부팅이후최초연결시각 HKLM\SYSTEM\ControlSet00X\Control\DeviceClasses\{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} GUID for Disk HKLM\SYSTEM\ControlSet00X\Control\DeviceClasses\{53F5630D-B6BF-11D0-94F2-00A0C91EFB8B} GUID for Volume HKLM\SYSTEM\ControlSet00X\Control\DeviceClasses\{A5DCBF D2-901F-00C04FB951ED} GUID for USB HKLM\SYSTEM\ControlSet00X\Control\DeviceClasses\{6AC27878-A6FA-4155-BA85-F98F491D4F33} GUID for Windows Portable Device (Vista or later) HKLM\SYSTEM\ControlSet00X\Enum\USBSTOR\[Device Class ID] 하위키중제품명이나시리얼번호를포함하는키검색 해당키의마지막수정시간 (Last Written Time) Enum\USBSTOR 를통해서도확인이가능하지만보안정책에의한시간정보임의갱신으로바람직하지않음 107

108 USB 장치연결정보 (11/12) 마지막연결시각 HKU\{USER}\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoint2 HKLM\SYSTEM\ControlSetXXX\Enum\USB\VID_####&PID_#### 하위키중 Volume GUID 또는시리얼번호를포함하는키검색 해당키의마지막수정시간 (Last Written Time) Enum\USB 를통해서도확인이가능하지만보안정책에의한시간정보임의갱신으로바람직하지않음 108

109 USB 장치연결정보 (12/12) 마지막연결 / 해제시간 HKLM\SYSTEM\ControlSet00X\Control\DeviceClasses\{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} \##?#USBSTOR#...[Serial Number]...{\ \#\}Control HKLM\SYSTEM\ControlSet00X\Control\DeviceClasses\{53F5630D-B6BF-11D0-94F2-00A0C91EFB8B} \##?#USBSTOR#...[Serial Number]...{\ \#\}Control HKLM\SYSTEM\ControlSet00X\Control\DeviceClasses\{A5DCBF D2-901F-00C04FB951ED} \##?#USBSTOR#...[Serial Number]...{\ \#\}Control HKLM\SYSTEM\ControlSet00X\Control\DeviceClasses\{6AC27878-A6FA-4155-BA85-F98F491D4F33} \##?#USBSTOR#...[Serial Number]...{\ \#\}Control 장치가연결 / 해제되면 Control 키의시간이변경됨 Control 키의마지막수정시간 (Last Written Time) USB 연결상태 USB 의마지막연결시간 USB 해제상태 마지막연결연결해제시간 단, Control 키는활성상태에서만유지되므로오프라인레지스트리분석은불가능 109

110 연결된저장장치정보 (1/5) 마운트된저장장치 HKLM\SYSTEM\MountedDevices 110

111 연결된저장장치정보 (2/5) 마운트된저장장치 HKLM\SYSTEM\MountedDevices 데이터를통해해당드라이브에마운트된장치형식확인가능 111

112 연결된저장장치정보 (3/5) 마운트된저장장치 디스크시그니처 (Disk Signature) 시스템에는총 3 개의디스크가마운트 디스크 1 C, D 드라이브 ( 파티션 ) 사용 디스크 2 E 드라이브 ( 파티션 ) 사용 디스크 3 F, G 드라이브 ( 파티션 ) 사용 112

113 연결된저장장치정보 (4/5) 마운트된저장장치 디스크시그니처 (Disk Signature) C, D 드라이브마운트정보 MBR 디스크시그니처 + 파티션시작위치 0x86C3D8DA + 0x MBR (Master Boot Record) 113

114 연결된저장장치정보 (5/5) 마운트된저장장치 외장형저장장치마운트정보 2000/XP \??\STORAGE#RemovableMedia#8&24e3f084&0&RM#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b} \??\STORAGE#RemovableMedia#{ParentIdPrefix}&RM#{GUID} Vista/7 _??_USBSTOR#Disk&Ven_Corsair&Prod_UFD&Rev_0.0.0#ddf08fb7a86075&0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b} _??_USBSTOR#Disk&Ven_{ 제조사명 }&Prod_{ 제품명 }&Rev_0.0.0#{ 시리얼번호 }#{GUID} 114

115 외부시스템연결정보 (1/5) 원격데스크탑연결정보 (RDP) HKU\{USER}\SOFTWARE\Microsoft\Terminal Server Client\Default 원격데스크탑연결 ( 시작 실행 mstsc ) 을수행한이전컴퓨터 IP 115

116 외부시스템연결정보 (2/5) 원격데스크탑연결정보 (RDP) HKU\{USER}\SOFTWARE\Microsoft\Terminal Server Client\Default MRU# 숫자가적을수록최근에수행한원격데스크탑연결 IP 116

117 외부시스템연결정보 (3/5) 네트워크드라이브연결 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Map Network Drive MRU 내컴퓨터 네트워크드라이브연결 (Map network drive.) 시연결정보 117

118 외부시스템연결정보 (4/5) 네트워크드라이브연결 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Map Network Drive MRU MRUList 네트워크드라이브연결순서확인 118

119 외부시스템연결정보 (5/5) 마운트포인트 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{GUID} CPC\Volume 의하위키와연결하여마운트된볼륨확인 마운트된저장장치 (HKLM\SYSTEM\MountedDevices) 정보와연결하여마운트한사용자확인 119

120 감사정책 (1/8) 2000/XP 감사정책 제어판 관리도구 로컬보안설정 로컬정책 감사정책 120

121 감사정책 (2/8) 2000/XP 감사정책 HKLM\SECURITY\Policy\PolAdtEv 레지스트리값확인을위해해당사용자에게읽기또는모든권한부여 121

122 감사정책 (3/8) 2000/XP 감사정책 HKLM\SECURITY\Policy\PolAdtEv 122

123 감사정책 (4/8) 2000/XP 감사정책 HKLM\SECURITY\Policy\PolAdtEv 위치 (Dec) 값 (Hex) 설명 : 감사정책없음 1 : 1 개이상의감사정책이설정되어있음 시스템이벤트감사 로그온이벤트감사 개체액세스감사 권한사용감사 프로세스추적감사 정책변경감사 계정관리감사 디렉터리서비스액세스감사 계정로그온이벤트감사 01 FA x00 : 감사없음 0x01 : 성공이벤트감사 0x02 : 실패이벤트감사 0x03 : 성공, 실패이벤트감사 123

124 감사정책 (5/8) Vista/7 감사정책 제어판 관리도구 로컬보안설정 로컬정책 감사정책 124

125 감사정책 (6/8) Vista/7 감사정책 HKLM\SECURITY\Policy\PolAdtEv 레지스트리값확인을위해해당사용자에게읽기또는모든권한부여 125

126 감사정책 (7/8) Vista/7 감사정책 HKLM\SECURITY\Policy\PolAdtEv 126

127 감사정책 (8/8) Vista/7 감사정책 HKLM\SECURITY\Policy\PolAdtEv 위치 (Dec) 값 (Hex) 설명 시스템이벤트감사 로그온이벤트감사 개체액세스감사 권한사용감사 프로세스추적감사 정책변경감사 계정관리감사 0x00 : 감사없음 0x01 : 성공이벤트감사 0x02 : 실패이벤트감사 0x03 : 성공, 실패이벤트감사 0 : 감사정책없음 1 : 1 개이상의감사정책이설정되어있음 디렉터리서비스액세스감사 계정로그온이벤트감사

128 이벤트로그 (1/2) 이벤트로그설정정보 제어판 관리도구 이벤트뷰어 128

129 이벤트로그 (2/2) 이벤트로그설정정보 HKLM\System\ControlSet00X\Services\eventlog Application, Security, System 로그파일경로, 로그파일최대크기, 로그유지기간등의정보확인 129

130 공유목록 (1/2) 공유폴더목록 HKLM\SYSTEM\ContolSet00X\Services\LanmanServer\Shares net share 명령을통해공유폴더확인 기본적인공유목록이아닌사용자가직접추가한항목만관리 130

131 공유목록 (2/2) 공유폴더목록 HKLM\SYSTEM\ContolSet00X\Services\LanmanServer\Shares 공유폴더경로, 권한, 공유이름등의정보확인 131

132 시스템설정정보 (1/3) 서비스및드라이버목록 HKLM\SYSTEM\ContolSet00X\Services\{sub folder} 제어판 관리도구 서비스 또는 시작 실행 msconfig 서비스탭 에서확인가능한서비스목록 driverquery 명령으로확인가능한드라이버목록 132

133 시스템설정정보 (2/3) 서비스및드라이버목록 HKLM\SYSTEM\ContolSet00X\Services\{sub folder} 각각의서비스및드라이버를가리키는세부키값중 Type 값에따라특성정의 자세한세부키값의미 : 133

134 시스템설정정보 (3/3) 서비스및드라이버목록 HKLM\SYSTEM\ContolSet00X\Services\{sub folder} Type 값의의미 0x1 커널장치드라이버 0x2 파일시스템드라이버 ( 커널장치드라이버에도해당 ) 0x04 어댑터에대한인수집합 0x10 서비스컨트롤러에의해시작되는 Win32 프로그램 ( 프로세스로동작 ) 0x20 다른 Win32 서비스프로세스와공유가능한 Win32 서비스 134

135 네트워크정보 (1/8) 네트워크인터페이스정보 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards HKLM\SYSTEM\ControlSet00X\Services\Tcpip\Parameter\Interfaces\{GUID} ipconfig /all 명령으로확인가능한정보 ( 추가적인정보포함 ) 135

136 네트워크정보 (2/8) 네트워크인터페이스정보 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards HKLM\SYSTEM\ControlSet00X\Services\Tcpip\Parameter\Interfaces\{GUID} NetworkCards 하위키를통해인터페이스 ServiceName(GUID) 확인후 Interfaces 하위키의값확인 136

137 네트워크정보 (3/8) 무선랜접속정보 2000/XP HKLM\SOFTWARE\Microsoft\WZCSVC\Parameters\Interface\{GUID} 무선랜에서사용하는 AP(Access Point) 하위키중 Static#00x 데이터가 Wireless SSID (Service Set Identifier) SSID 와함께무선인터페이스에할당된 IP 정보를함께활용 SSID (Service Set Identifiers) 137

138 네트워크정보 (4/8) 무선랜접속정보 Vista/7 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Wireless 하위키에서무선네트워크식별자 (Wireless Identifier) 확인가능 Signature\Unmanaged 하위키와연결하여다양한무선랜접속정보확인가능 138

139 네트워크정보 (5/8) 무선랜접속정보 Vista/7 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Wireless Vista/7 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signature\ Unmanaged 139

140 네트워크정보 (6/8) 무선랜접속정보 Vista/7 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signature\ Unmanaged Vista/7 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profile\{GUID} 140

141 네트워크정보 (7/8) 무선랜접속정보 Vista/7 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signature\ Unmanaged Vista/7 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profile\{GUID} 141

142 네트워크정보 (8/8) 무선랜접속정보 무선 AP 마지막접속시간 DB D 엔디안변환 07 DB D year month weekday day hour min. sec. ms Sat 년 04 월 02 일토요일 13:23:25 343ms 142

143 하드웨어정보 (1/2) 하드웨어목록 HKLM\SYSTEM\ControlSet00X\Control\Class HKLM\SYSTEM\ControlSet00X\Enum 143

144 하드웨어정보 (2/2) 하드웨어목록 HKLM\SYSTEM\ControlSet00X\Control\Class HKLM\SYSTEM\ControlSet00X\Enum 144

145 인터넷사용흔적 (1/11) Internet Explorer 설정정보 HKU\{USER}\SOFTWARE\Microsoft\Internet Explorer\Main 시작페이지, 동작시간정보, 검색페이지정보등다양한설정정보저장 145

146 인터넷사용흔적 (2/11) Internet Explorer 타이핑한 URL 목록 HKU\{USER}\SOFTWARE\Microsoft\Internet Explorer\TypedURLs 사용자가익스플로러주소창에직접타이핑하여이동된페이지목록 인터넷옵셥 히스토리항목삭제 를할경우해당내용도삭제됨 146

147 인터넷사용흔적 (3/11) Internet Explorer 다운로드경로 HKU\{USER}\SOFTWARE\Microsoft\Internet Explorer Download Directory 익스플로러를통해파일을다운로드했을경우최종다운로드경로 147

148 인터넷사용흔적 (4/11) Internet Explorer 자동완성 인터넷익스플로러에는작성한글이나패스워드를기억해주는자동완성기능이존재 인터넷옵션 내용 자동완성 148

149 인터넷사용흔적 (5/11) Internet Explorer 자동완성 HKU\{USER}\SOFTWARE\Microsoft\Internet Explorer\Main FormSuggest PW Ask 자동완성대화상자를표시할것인지아닌여부 yes 대화상자표시 ( 사용자가체크박스에체크하지않을경우 ) no 대화상자표시하지않음 ( 사용자가표시안함체크박스에체크한경우 ) 149

150 인터넷사용흔적 (6/11) Internet Explorer (4.x 6.x) 자동완성 HKU\{USER}\SOFTWARE\Microsoft\Internet Explorer\IntelliForms\SPW SPW(SavePassWords) 사이트의자동완성정보가저장되어있는지여부 대화상자에서 예 또는 아니요 어느것을선택하더라도해당값저장 방문한사이트 URL 이해쉬되어저장 예 (Yes) 를선택 HKEY\{USER}\SOFTWARE\Microsoft\Protected Storage System Provider 아이디 / 패스워드저장 아니요 (No) 를선택 HKEY\{USER}\SOFTWARE\Microsoft\Protected Storage System Provider 아이디저장 150

151 인터넷사용흔적 (7/11) Internet Explorer (4.x 6.x) 자동완성 HKU\{USER}\SOFTWARE\Microsoft\Protected Storage System Provider\{SID}\{subkey} 저장한아이디패스워드는암호화 (Triple DES) 되어저장 \Data2 하위키에키와 salt 가저장 다양한복구도구로복호화가능 ( 151

152 인터넷사용흔적 (8/11) Internet Explorer (7.x 8.x) 자동완성 HKU\{USER}\SOFTWARE\Microsoft\Internet Explorer\IntelliForms\Storage1 사이트 URL 을키로사용하여폼 (Form) 데이터를암호화 152

153 인터넷사용흔적 (9/11) Internet Explorer (7.x 8.x) 자동완성 HKU\{USER}\SOFTWARE\Microsoft\Internet Explorer\IntelliForms\Storage2 사이트 URL 을키로사용하여아이디 / 패스워드를암호화 153

154 인터넷사용흔적 (10/11) Internet Explorer 즐겨찾기 (Favorite) 목록 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites Order 즐겨찾기목록저장 하위키 즐겨찾기폴더이름 154

155 인터넷사용흔적 (11/11) 추가적인분석 앞서살펴본내용이외에도다양한인터넷사용흔적존재 FireFox, Chrome, Safari, Opera 등의브라우저에대한흔적분석 각브라우저별패스워드저장경로 155

156 대화상자 (Dialog) 사용흔적 (1/5) 최근에접근한폴더목록 2000/XP HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU Vista/7 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidMRU 대화상자를통해 Open 한폴더목록 156

157 대화상자 (Dialog) 사용흔적 (2/5) 최근에접근한폴더목록 2000/XP HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU Vista/7 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidMRU MRUListEx 를통해최근접근한폴더순서확인 157

158 대화상자 (Dialog) 사용흔적 (3/5) 최근에읽거나저장한파일목록 2000/XP HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU Vista/7 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidMRU 대화상자를통해 Open 하거나 Save As 한파일목록 158

159 대화상자 (Dialog) 사용흔적 (4/5) 최근에읽거나저장한파일목록 2000/XP HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU Vista/7 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidMRU 확장자서브키를통해최근읽거나저장한파일목록관리 159

160 대화상자 (Dialog) 사용흔적 (5/5) Vista/7 에서추가된대화상자흔적 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidMRULegacy HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\CIDSizeMRU HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\FirstFolder 160

161 레지스트리편집기사용흔적 (1/1) 레지스트리편집기에서마지막으로접근한키 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\Regedit LastKey 값에마지막으로접근한키경로저장 161

162 레지스트리편집기사용흔적 (2/2) 레지스트리편집기의즐겨찾기에추가한키 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\Regedit\Favorites 즐겨찾기에추가한각키값과경로저장 162

163 NtfsDisableLastAccessUpdate 파일접근시간업데이트여부 (Vista/7 에서만사용 ) HKLM\SYSTEM\ControlSet00X\Control\FileSystem NtfsDisableLastAccessUpdate 0 : 접근시간을업데이트함 1 : 접근시간을업데이트하지않음 (Default) 디렉터리리스팅시속도를빠르게하기위한목적으로접근시간을업데이트하지않음 163

164 NukeOnDelete 휴지통우회 2000/XP HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BitBucket Vista/7 HKU\{USER}\Software\Microsoft\Windows\CurrentVersion\Explorer\Bitbucket\Volume\{GUID} NukeOnDelete 0 : 파일삭제시휴지통으로이동 (Default) 1 : 파일삭제시휴지통을거치지않고바로삭제 XP 이하에서는단일설정으로전체사용자에적용, Vista 이상부터는사용자와볼륨마다설정가능 164

165 ClearPageFileAtShutdown 시스템종료시페이지파일삭제 HKLM\SYSTEM\ControlSet00X\Control\Session Manager\Memory Management ClearPageFileAtShutdown 0 : 시스템종료시페이지파일유지 (Default) 1 : 시스템종료시페이지파일삭제 165

166 추가적인레지스트리분석정보 레지스트리분석체계화 앞서언급한레지스트리흔적이외에도응용프로그램이나사용자의행위에따라다양한흔적존재 매사건마다전체레지스트리흔적을모두찾는것은바람직하지않음 사건이일어난후사전조사를통해우선분석이나정밀분석해야할레지스트리선정필요 따라서사전에응용프로그램이나사용자행위에따른레지스트리흔적변화의체계적인정리필요 국내에서널리사용되는응용프로그램 ( 한글, 곰플레이어, 알집등 ) 에대한레지스트리흔적도분석필요 166

167 레지스트리도구 Security is a people problem 167

168 레지스트리도구 모니터링도구 Process Monitor ( 레지스트리실시간모니터링도구 지원운영체제 클라이언트 : Windows XP SP2 이상 서버 : Windows Server 2003 SP1 이상 168

169 레지스트리도구 모니터링도구 Regshot ( 레지스트리스냅샷을통해두시점간의레지스트리비교 지원운영체제 : Windows 2000, XP, Vista, 7 169

170 레지스트리도구 모니터링도구 InCtrl5 ( 레지스트리, 파일스냅샷을통해두시점간의레지스트리, 파일비교 지원운영체제 : Windows 95, 98, NT, 4.0, 2000, ME 170

171 레지스트리도구 분석도구 RegRipper ( 펄 (Perl) 기반의레지스트리파일 ( 하이브 ) 분석도구 RegRipper 를포함한포렌식툴킷 PlainSight ( SIFT(SANS Investigative Forensic Toolkit) ( 171

172 레지스트리도구 분석도구 REGA ( MFC 기반의 GUI 레지스트리분석도구 172

173 예제 Security is a people problem 173

174 CODEGATE 2011 YUT Quals Q) Forensics 300 We are investigating the military secret's leaking. we found traffic with leaking secrets while monitoring the network. Security team was sent to investigate, immediately. But, there was no one present. It was found by forensics team that all the leaked secrets were completely deleted by wiping tool. And the team has found a leaked trace using potable device. Before long, the suspect was detained. But he denies allegations. Now, the investigation is focused on potable device. The given files are acquired registry files from system. The estimated time of the incident is Mon, 21 February :24:28(KST). Find a trace of portable device used for the incident. The Key : "Vendor name" + "volume name" + "serial number" (please write in capitals) 174

175 CODEGATE 2011 YUT Quals A) Forensics 300 Writeup The Key : "Vendor name" + "volume name" + "serial number" (please write in capitals) Vendor : Corsair, Volume name : PR0N33R, Serial number : ddf08fb7a86075&0 Answer : CORSAIRPR0N33RDDF08FB7A

176 CODEGATE 2011 YUT Challenge Q) Forensics GEOL or YUT we are investigating the military secret's leaking. It seems that the suspect used a portable device. Find a signature of mounted E: drive. (please write in capitals) 176

177 레지스트리보안 Security is a people problem 177

178 레지스트리보안 레지스트리설정 키권한설정 178

179 레지스트리보안 레지스트리설정 키권한설정 RegCreateKeyEx ( in HKEY hkey, in LPCTSTR lpsubkey, reserved DWORD Reserved, in_opt LPTSTR lpclass, in DWORD dwoptions, in REGSAM samdesired, /* 키보안및접근권한 mask 설정 */ in_opt LPSECURITY_ATTRIBUTES lpsecurityattributes, out PHKEY phkresult, out_opt LPDWORD lpdwdisposition ); RegOpenKeyEx() RegCreateKeyTransacted() RegOpenKeyTransacted() 179

180 레지스트리보안 레지스트리설정 고급보안설정 ( 사용권한, 감사, 소유자, 유효사용권한 ) 180

181 레지스트리보안 악성코드 (1/5) 자동시작목록 ( 약 130 여개의키가확인됨, Autoruns by Sysinternals.com, Microsoft) HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKU\{USER}\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKLM\SYSTEM\ControlSet00X\Control\Terminal Server\Wds\rdpwd\StartupPrograms 181

182 레지스트리보안 악성코드 (2/5) Appinit_DLLs GUI 응용프로그램에의해로드되는 DLL HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs GUI 응용프로그램실행시 (user32.dll 에의해 ) 자동으로로드되는 DLL 일반적으로비어있으며, 값이존재한다면악성코드일가능성이큼 182

183 레지스트리보안 악성코드 (3/5) Image File Execution Options 자동디버그연결정보 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 하위키로디버깅하고자하는응용프로그램추가 Debugger 값으로해당응용프로그램실행시연결시킬디버거지정 ( 디버거검증안함 ) 특정응용프로그램을다른프로그램으로리다이렉트가능 183

184 레지스트리보안 악성코드 (4/5) Command Processor\AutoRun 명령프롬프트실행시자동시작되는응용프로그램 HKLM(HKCU)\SOFTWARE\Microsoft\Command Processor AutoRun 값생성후특정응용프로그램을지정하면명령프롬프트실행시자동으로함께실행 184

185 레지스트리보안 악성코드 (5/5) exefile\shell\open\command 실행파일실행시정상적인매개변수 HKLM\SOFTWARE\Classes\exefile\shell\open\command Default 기본값은 [ %1 %* ] 를가져야함 악성코드에의해실행파일실행시다른프로그램수행 exefile 외에 comfile, batfile, htafile 등에도동일하게적용 185

186 레지스트리보안 완전삭제 (wiping) 삭제된레지스트리개체를복구불가능하도록완전삭제 레지스트리직접삭제나 API 를이용해서는안됨 삭제동작시하이브파일내에서해당레지스트리데이터완전삭제 186

187 참고자료 추가적인내용은다음자료참고 AccessData Registry Offsets AccessData Registry Quick Find Chart AccessData Microsoft Office 2007, 2010 Registry Artifacts AccessData UserAssist Registry Key A Windows Registry Quick Reference : For the Everyday Examiner 187

188 질문및답변 188

슬라이드 1

슬라이드 1 OS Artifacts Registry Twitter : @pr0neer Blog : Email : proneer@gmail.com Kim Jinkook 개요 1. 레지스트리소개 2. 레지스트리획득 3. 레지스트리내부 4. 레지스트리카빙 5. 6. 레지스트리도구 레지스트리소개 Security is a people problem 레지스트리소개 레지스트리소개및분석의필요성

More information

슬라이드 1

슬라이드 1 휴지통포렌식 JK Kim @pr0neer proneer@gmail.com 개요 1. 휴지통 2. 휴지통파일구조 3. 휴지통파일카빙 4. 휴지통파일분석 2 휴지통 Security is a people problem 3 휴지통 휴지통이란? 휴지통소개 윈도우에서파일을삭제할경우, 기본적으로삭제된파일은휴지통 (Recycle Bin) 영역으로이동 휴지통우회방법 SHIFT

More information

슬라이드 1

슬라이드 1 [Kevin s Attic for Security Research] Windows Registry Artifacts kevinkoo001@gmail.com DO NOT FORGET TO REMAIN THE ORIGINAL SOURCE WHEN YOU MAKE USE OF THIS MATERIAL OR (RE)DISTRIBUTE IT. What to Cover

More information

Windows 8에서 BioStar 1 설치하기

Windows 8에서 BioStar 1 설치하기 / 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar

More information

디지털포렌식학회 논문양식

디지털포렌식학회 논문양식 Windows Transactional NTFS(TxF), Registry(TxR) 기능 연구 유 병 영, 방 제 완, 이 상 진 고려대학교 디지털포렌식연구센터 Analysis of Windows Transactional NTFS(TxF) and Transactional Registry(TxR) Byeongyeong Yoo, Jewan Bang, Sangjing

More information

PowerPoint Presentation

PowerPoint Presentation FORENSICINSIGHT SEMINAR SQLite Recovery zurum herosdfrc@google.co.kr Contents 1. SQLite! 2. SQLite 구조 3. 레코드의삭제 4. 삭제된영역추적 5. 레코드복원기법 forensicinsight.org Page 2 / 22 SQLite! - What is.. - and why? forensicinsight.org

More information

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O Orange for ORACLE V4.0 Installation Guide ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE...1 1....2 1.1...2 1.2...2 1.2.1...2 1.2.2 (Online Upgrade)...11 1.3 ORANGE CONFIGURATION ADMIN...12 1.3.1 Orange Configuration

More information

컴퓨터관리2번째시간

컴퓨터관리2번째시간 Company 컴퓨터 관리 참고 자료 PC 운영체제 POST 기능 :, ROM BIOS ( : [F8]) 1. Windows XP Windows XP 사용자 계정 :,,, 강화된 디지털 미디어 지원 기능 : (Windows Movie Maker), CD (Windows Media Player), Windows 홈 네트워크 기능 :, 강화된 시스템 관리 :,

More information

무선네트워크와윈도우즈레지스트리 - 당신의컴퓨터는어디에다녀왔는가? 원제 : Wireless Networks and the Windows Registry - Just where has your computer been? 원문

무선네트워크와윈도우즈레지스트리 - 당신의컴퓨터는어디에다녀왔는가? 원제 : Wireless Networks and the Windows Registry - Just where has your computer been? 원문 무선네트워크와윈도우즈레지스트리 - 당신의컴퓨터는어디에다녀왔는가? 원제 : Wireless Networks and the Windows Registry - Just where has your computer been? 원문 https://www.sans.org/reading-room/whitepapers/incident/wireless-networks-windows-registrycomputer-been-33659

More information

System Recovery 사용자 매뉴얼

System Recovery 사용자 매뉴얼 Samsung OS Recovery Solution 을이용하여간편하게 MagicInfo 의네트워크를설정하고시스템을백업및복원할수있습니다. 시스템시작시리모컨의 - 버튼이나키보드의 F3 키를연속해서누르면복구모드로진입한후 Samsung OS Recovery Solution 이실행됩니다. Samsung OS Recovery Solution 은키보드와리모컨을사용하여조작할수있습니다.

More information

1 법적 고지 사항 SK hynix Inc.는 사전 통보 없이 제품, 정보 및 사양을 변경할 권리를 보유합니다. 본 문서의 제품 및 사양은 참조용입니다. 본 문서의 모든 정보는 어떠한 형태의 보증 없이 있는 그대로 제공됩니다. 본 문서와 여기 포함된 모든 정보는 SK

1 법적 고지 사항 SK hynix Inc.는 사전 통보 없이 제품, 정보 및 사양을 변경할 권리를 보유합니다. 본 문서의 제품 및 사양은 참조용입니다. 본 문서의 모든 정보는 어떠한 형태의 보증 없이 있는 그대로 제공됩니다. 본 문서와 여기 포함된 모든 정보는 SK 데이터 마이그레이션 도구 사용자 가이드 Data Migration Tool User Guide SK kynix Inc. 2014 Rev 1.01K 1 법적 고지 사항 SK hynix Inc.는 사전 통보 없이 제품, 정보 및 사양을 변경할 권리를 보유합니다. 본 문서의 제품 및 사양은 참조용입니다. 본 문서의 모든 정보는 어떠한 형태의 보증 없이 있는 그대로

More information

Dropbox Forensics

Dropbox Forensics Cloud Storage Forensics Part I : Dropbox 2013. 09. 28 forensic.n0fate.com Dropbox Forensics Dropbox Forensics Dropbox 웹기반파일공유서비스 총 12 개의클라이언트지원 Desktop : Windows, Mac OS X, Linux Mobile : ios, Android,

More information

Microsoft Word - src.doc

Microsoft Word - src.doc IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...

More information

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

Microsoft Word - windows server 2003 수동설치_non pro support_.doc Windows Server 2003 수동 설치 가이드 INDEX 운영체제 설치 준비과정 1 드라이버를 위한 플로피 디스크 작성 2 드라이버를 위한 USB 메모리 작성 7 운영체제 설치 과정 14 Boot Sequence 변경 14 컨트롤러 드라이버 수동 설치 15 운영체제 설치 17 운영체제 설치 준비 과정 Windows Server 2003 에는 기본적으로

More information

Microsoft PowerPoint - [#4-2] File System Forensic Analysis.pptx

Microsoft PowerPoint - [#4-2] File System Forensic Analysis.pptx File System Forensic Analysis Twitter : @pr0neer Blog : f Email : proneer@gmail.com Kim Jinkook Outline 1. File System Forensic Analysis (FAT/NTFS) Recovery for Deleted Files (FAT/NTFS) Unallocated Cluster

More information

05Àå

05Àå CHAPTER 05 NT,, XP,. NT NTFS, XP. D,,. XP x NT,,, ( x, x ). NT/ /XP,.. PC NT NT. + Guide to Software: Understanding and Installing Windows 2000 and Windows NT + SOFTWARE Guide to Software 3/e SOFTWARE

More information

ActFax 4.31 Local Privilege Escalation Exploit

ActFax 4.31 Local Privilege Escalation Exploit NSHC 2013. 05. 23 악성코드 분석 보고서 [ Ransomware 악성코드 ] 사용자의 컴퓨터를 강제로 잠그고 돈을 요구하는 형태의 공격이 기승을 부리고 있 습니다. 이러한 형태의 공격에 이용되는 악성코드는 Ransomware로 불리는 악성코 드 입니다. 한번 감염 시 치료절차가 복잡하며, 보고서 작성 시점을 기준으로 지속 적인 피해자가 발생되고

More information

*2008년1월호진짜

*2008년1월호진짜 3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가

More information

bn2019_2

bn2019_2 arp -a Packet Logging/Editing Decode Buffer Capture Driver Logging: permanent storage of packets for offline analysis Decode: packets must be decoded to human readable form. Buffer: packets must temporarily

More information

PowerPoint Presentation

PowerPoint Presentation FORENSIC INSIGHT; DIGITAL FORENSICS COMMUNITY IN KOREA SQL Server Forensic AhnLab A-FIRST Rea10ne unused6@gmail.com Choi Jinwon Contents 1. SQL Server Forensic 2. SQL Server Artifacts 3. Database Files

More information

Windows7 응용프로그램실행흔적분석 공지훈

Windows7 응용프로그램실행흔적분석 공지훈 Windows7 응용프로그램실행흔적분석 공지훈 201354002 순 서 1. UserAssist ------------------------ 1p 2. Prefetch / Superfetch ------------- 4p 3. Shim ---------------------------- 5p 4. LNK ---------------------------- 12p

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 Deep Learning 작업환경조성 & 사용법 ISL 안재원 Ubuntu 설치 작업환경조성 접속방법 사용예시 2 - ISO file Download www.ubuntu.com Ubuntu 설치 3 - Make Booting USB Ubuntu 설치 http://www.pendrivelinux.com/universal-usb-installer-easy-as-1-2-3/

More information

MF5900 Series MF Driver Installation Guide

MF5900 Series MF Driver Installation Guide 한국어 MF 드라이버설치설명서 사용자소프트웨어 CD-ROM................................................ 1.................................................................... 1..............................................................................

More information

RHEV 2.2 인증서 만료 확인 및 갱신

RHEV 2.2 인증서 만료 확인 및 갱신 2018/09/28 03:56 1/2 목차... 1 인증서 확인... 1 인증서 종류와 확인... 4 RHEVM CA... 5 FQDN 개인 인증서... 5 레드햇 인증서 - 코드 서명 인증서... 6 호스트 인증... 7 참고사항... 8 관련링크... 8 AllThatLinux! - http://allthatlinux.com/dokuwiki/ rhev_2.2_

More information

SAS9.2_SAS_Enterprise_Miner_install_guide_single_user_v2

SAS9.2_SAS_Enterprise_Miner_install_guide_single_user_v2 [Win] SAS Enterprise Miner6.1 설치가이드 - Single User 작성자 : 기술지원팀 (SAS Korea) 단계 1) 설치전주의 / 확인사항 2) 사용자생성및권한할당 3) SAS Software Deport 생성 4) SAS Enterprise Miner 설치 (SAS Foundation + Enterprise Miner 6.1) 5)

More information

기존에 Windchill Program 이 설치된 Home Directory 를 선택해준다. 프로그램설치후설치내역을확인해보면 Adobe Acrobat 6.0 Support 내역을확인할수 있다.

기존에 Windchill Program 이 설치된 Home Directory 를 선택해준다. 프로그램설치후설치내역을확인해보면 Adobe Acrobat 6.0 Support 내역을확인할수 있다. PDMLink 에등록된 Office 문서들의 PDF 문서변환기능및 Viewer 기능을알아보자 PDM Link에서지원하는 [Product View Document Support] 기능은 Windows-Base 기반의 Microsoft Office 문서들을 PDMLink용 Viewer인 Product View를통한읽기가가능한 PDF Format 으로변환하는기능이다.

More information

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074> SIMATIC S7 Siemens AG 2004. All rights reserved. Date: 22.03.2006 File: PRO1_17E.1 차례... 2 심벌리스트... 3 Ch3 Ex2: 프로젝트생성...... 4 Ch3 Ex3: S7 프로그램삽입... 5 Ch3 Ex4: 표준라이브러리에서블록복사... 6 Ch4 Ex1: 실제구성을 PG 로업로드하고이름변경......

More information

Splentec V-WORM Quick Installation Guide Version: 1.0 Contact Information 올리브텍 주소 : 경기도성남시분당구구미로 11 ( 포인트타운 701호 ) URL: E-M

Splentec V-WORM Quick Installation Guide Version: 1.0 Contact Information 올리브텍 주소 : 경기도성남시분당구구미로 11 ( 포인트타운 701호 ) URL:   E-M Splentec V-WORM Quick Installation Guide Version: 1.0 Contact Information 올리브텍 주소 : 경기도성남시분당구구미로 11 ( 포인트타운 701호 ) URL: http://www.olivetech.co.kr E-Mail: tech@olivetech.co.kr TEL: 031-726-4217 FAX: 031-726-4219

More information

NTD36HD Manual

NTD36HD Manual Upnp 사용 D7 은 UPNP 를지원하여 D7 의네크워크에연결된 UPNP 기기에별다른설정없이연결하여, 유무선으로네트워크상의연결된 UPNP 기기의콘텐츠를재생할수있습니다. TV 화면의 브라우저, UPNP 를선택하면연결가능한 UPNP 기기가표시됩니다. 주의 - UPNP 기능사용시연결된 UPNP 기기의성능에따라서재생되지않는콘텐츠가있을수있습니다. NFS 사용 D7

More information

Microsoft PowerPoint - 권장 사양

Microsoft PowerPoint - 권장 사양 Autodesk 제품컴퓨터사양 PRONETSOFT.CO 박경현 1 AutoCAD 시스템사양 시스템요구사양 32 비트 AutoCAD 2009 를위한시스템요구사항 Intel Pentium 4 프로세서 2.2GHz 이상, 또는 Intel 또는 AMD 듀얼 코어프로세서 16GH 1.6GHz 이상 Microsoft Windows Vista, Windows XP Home

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 사용자계정관리 운영체제실습 목차 Ⅲ. 사용자계정관리 4.1 사용자계정관리 4.2 그룹관리 4.3 사용자계정관련파일 4.4 패스워드관리 4.5 사용자신분확인 4.1 사용자계정관리 사용자생성관련명령어 사용자생성 : useradd / adduser 사용자삭제 : userdel 사용자정보변경 : usermod 패스워드설정및변경 : passwd 그룹생성관련명령어 group

More information

Poison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3

Poison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3 Poison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3 Example 3.1 Files 3.2 Source code 3.3 Exploit flow

More information

Install stm32cubemx and st-link utility

Install stm32cubemx and st-link utility STM32CubeMX and ST-LINK Utility for STM32 Development 본문서는 ST Microelectronics 의 ARM Cortex-M 시리즈 Microcontroller 개발을위해제공되는 STM32CubeMX 와 STM32 ST-LINK Utility 프로그램의설치과정을설명합니다. 본문서는 Microsoft Windows 7

More information

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드]

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드] 리눅스 설치 Vmware를 이용한 Fedora Core 8 설치 소프트웨어실습 1 Contents 가상 머신 실습 환경 구축 Fedora Core 8 설치 가상 머신 가상 머신 가상 머신의 개념 VMware의 설치 VMware : 가상 머신 생성 VMware의 특징 실습 환경 구축 실습 환경 구축 Fedora Core 8 설치 가상 머신의 개념 가상 머신 (Virtual

More information

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc NTAS and FRAME BUILDER Install Guide NTAS and FRAME BUILDER Version 2.5 Copyright 2003 Ari System, Inc. All Rights reserved. NTAS and FRAME BUILDER are trademarks or registered trademarks of Ari System,

More information

6. 설치가시작되는동안 USB 드라이버가자동으로로드됩니다. USB 드라이버가성공적으로로드되면 Setup is starting( 설치가시작되는중 )... 화면이표시됩니다. 7. 화면지침에따라 Windows 7 설치를완료합니다. 방법 2: 수정된 Windows 7 ISO

6. 설치가시작되는동안 USB 드라이버가자동으로로드됩니다. USB 드라이버가성공적으로로드되면 Setup is starting( 설치가시작되는중 )... 화면이표시됩니다. 7. 화면지침에따라 Windows 7 설치를완료합니다. 방법 2: 수정된 Windows 7 ISO Windows 7 설치및 PCIE RAID 설정정보 DK173 초판 11월 2016 A. Windows 7 및 USB 드라이버설치 칩셋사양에따라 Windows 7 설치중에 USB 키보드 / 마우스를사용하려면시스템에서 USB 드라이버를사전로드해야합니다. 이절에서는 USB 드라이버사전로드방법과 Windows 7 설치방법에대해서설명합니다. 방법 1: SATA ODD

More information

1217 WebTrafMon II

1217 WebTrafMon II (1/28) (2/28) (10 Mbps ) Video, Audio. (3/28) 10 ~ 15 ( : telnet, ftp ),, (4/28) UDP/TCP (5/28) centralized environment packet header information analysis network traffic data, capture presentation network

More information

Xcovery 사용설명서

Xcovery 사용설명서 ㄱ 센티리온 프리미엄 사용설명서 목 차 Chapter 1 프로그램 소개 및 기본개념 1) 시스템 복구 2) 시스템백업 3) 시스템 백업 및 시스템 복구 활용하기 4) 폴더보호 Chapter 2 프로그램 설치하기 1) 프로그램 설치 방법 2) Centillion 설치 소프트웨어 사용권 계약서 3) 제품 인증 키 입력 4) Centillion 폴더보호 5) Windows

More information

아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다

아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다 공유기사용환경에서 MNC-V100 환경설정하기 다음설명은 AnyGate GW-400A (Http://www.anygate.co.kr) 를사용하는네트워크환경에서 MNC-V100 을연결하여사용하는법을설명합니다. 공유기내부네트워크환경설정공유기를사용하는환경에서공유기의설정을아래그림과같이설정하시면 MNC-V100의설정을변경하지않아도모비캠과연결할수있습니다. ( 공유기의환경을변경하기어려운경우에는

More information

네이버블로그 :: 포스트내용 Print VMw are 에서 Linux 설치하기 (Centos 6.3, 리눅스 ) Linux 2013/02/23 22:52 /carrena/ VMware 에서 l

네이버블로그 :: 포스트내용 Print VMw are 에서 Linux 설치하기 (Centos 6.3, 리눅스 ) Linux 2013/02/23 22:52   /carrena/ VMware 에서 l VMw are 에서 Linux 설치하기 (Centos 6.3, 리눅스 ) Linux 2013/02/23 22:52 http://blog.naver.com /carrena/50163909320 VMware 에서 linux 설치하기 linux 는다양한버전이존재합니다. OS 자체가오픈소스이기때문에 redhat fedora, 우분투, centos 등등 100 가지가넘는버전이존재함

More information

SRC PLUS 제어기 MANUAL

SRC PLUS 제어기 MANUAL ,,,, DE FIN E I N T R E A L L O C E N D SU B E N D S U B M O TIO

More information

CD-RW_Advanced.PDF

CD-RW_Advanced.PDF HP CD-Writer Program User Guide - - Ver. 2.0 HP CD-RW Adaptec Easy CD Creator Copier, Direct CD. HP CD-RW,. Easy CD Creator 3.5C, Direct CD 3.0., HP. HP CD-RW TEAM ( 02-3270-0803 ) < > 1. CD...3 CD...5

More information

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자 SQL Developer Connect to TimesTen 유니원아이앤씨 DB 팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 2010-07-28 작성자 김학준 최종수정일 2010-07-28 문서번호 20100728_01_khj 재개정이력 일자내용수정인버전

More information

순 서 1. UserAssist p 2. Prefetch / Superfetch p 3. Shim p 4. LNK

순 서 1. UserAssist p 2. Prefetch / Superfetch p 3. Shim p 4. LNK Windows7 응용프로그램실행흔적분석 공지훈 201354002 순 서 1. UserAssist ------------------------ 1p 2. Prefetch / Superfetch ------------- 4p 3. Shim ---------------------------- 5p 4. LNK ---------------------------- 12p

More information

[ 컴퓨터시스템 ] 3 주차 1 차시. 디렉토리사이의이동 3 주차 1 차시디렉토리사이의이동 학습목표 1. pwd 명령을사용하여현재디렉토리를확인할수있다. 2. cd 명령을사용하여다른디렉토리로이동할수있다. 3. ls 명령을사용하여디렉토리내의파일목록을옵션에따라다양하게확인할수

[ 컴퓨터시스템 ] 3 주차 1 차시. 디렉토리사이의이동 3 주차 1 차시디렉토리사이의이동 학습목표 1. pwd 명령을사용하여현재디렉토리를확인할수있다. 2. cd 명령을사용하여다른디렉토리로이동할수있다. 3. ls 명령을사용하여디렉토리내의파일목록을옵션에따라다양하게확인할수 3 주차 1 차시디렉토리사이의이동 학습목표 1. pwd 명령을사용하여현재디렉토리를확인할수있다. 2. cd 명령을사용하여다른디렉토리로이동할수있다. 3. ls 명령을사용하여디렉토리내의파일목록을옵션에따라다양하게확인할수있다. 학습내용 1 : 현재디렉토리확인 1. 홈디렉토리 - 로그인을한후, 사용자가기본으로놓이게되는디렉토리위치를홈디렉토리 (home directory)

More information

chap 5: Trees

chap 5: Trees 5. Threaded Binary Tree 기본개념 n 개의노드를갖는이진트리에는 2n 개의링크가존재 2n 개의링크중에 n + 1 개의링크값은 null Null 링크를다른노드에대한포인터로대체 Threads Thread 의이용 ptr left_child = NULL 일경우, ptr left_child 를 ptr 의 inorder predecessor 를가리키도록변경

More information

노트북 IT / 모바일 데스크탑 34 올인원PC 35 PC 소프트웨어 포터블SSD / SSD / 메모리카드 36 태블릿 37 휴대폰 39 PC 솔루션 IT / 모바일 IT / 모바일 노트북 29 삼성전자는 Windows 를 권장합니다. 삼성전자만의 편리하고 다양한 소프트웨어를 통해 초보자도 보다 쉽고 빠르게 이용 가능합니다. Easy Settings 삼성 패스트

More information

API 매뉴얼

API 매뉴얼 PCI-DIO12 API Programming (Rev 1.0) Windows, Windows2000, Windows NT and Windows XP are trademarks of Microsoft. We acknowledge that the trademarks or service names of all other organizations mentioned

More information

Mango-IMX6Q mfgtool을 이용한 이미지 Write하기

Mango-IMX6Q mfgtool을 이용한 이미지 Write하기 Mango-IMX6Q mfgtool 을 이용한이미지 Write 하기 http://www.mangoboard.com/ http://cafe.naver.com/embeddedcrazyboys Crazy Embedded Laboratory www.mangoboard.com cafe.naver.com/embeddedcrazyboys CRZ Technology 1 Document

More information

Module 2 Active Directory Domain Services 소개

Module 2 Active Directory Domain Services 소개 Module 2 Active Directory Domain Services 소개 개요 AD DS 개요 도메인컨트롤러개요 도메인컨트롤러설치 Lesson 1: AD DS 개요 AD DS 개요 AD DS 도메인 OU 란? AD DS 포리스트란? AD DS 스키마란? AD DS 개요 AD DS 는물리적, 논리적구성요소로이루어져있음 물리적구성요소 데이터저장소 도메인컨트롤러

More information

server name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지

server name>/arcgis/rest/services  server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지 ArcGIS for Server (Windows) 설치가이드 ArcGIS 10.2 for Server 설치변경사항 1 설치 간편해진설치 -.Net Framework나 Java Runtime 요구하지않음 - 웹서버 (IIS, WebSphere ) 와별도로분리되어순수하게웹서비스기반의 GIS 서버역할 - ArcGIS Server 계정을이용한서비스운영. 더이상 SOM,

More information

Microsoft PowerPoint - AME_InstallRoutine_ver8.ppt

Microsoft PowerPoint - AME_InstallRoutine_ver8.ppt AMESim Install Routine and License Manager Tel : +82-31-608-0434 Fax : +82-31-608-0439 E-mail :support@shinho-systems.co.kr http://www.shinho-systems.co.kr Ssangyong IT Twin Tower 702, Sandaewon-dong,

More information

슬라이드 1

슬라이드 1 강력한성능! 인터넷 / 업무용데스크탑 PC NX-H Series Desktop PC NX1- H700/H800/H900 NX2- H700/H800/H900 NX1-H Series 사양 Series 제품설명 ( 모델명 ) NX1-H Series, 슬림타입 기본형모델중보급형모델고급형모델 NX1-H800:112SN NX1-H800:324SN NX1-H800:534MS

More information

슬라이드 1

슬라이드 1 / 유닉스시스템개요 / 파일 / 프로세스 01 File Descriptor file file descriptor file type unix 에서의파일은단지바이트들의나열임 operating system 은파일에어떤포맷도부과하지않음 파일의내용은바이트단위로주소를줄수있음 file descriptor 는 0 이나양수임 file 은 open 이나 creat 로 file

More information

Copyright 2012, Oracle and/or its affiliates. All rights reserved.,.,,,,,,,,,,,,.,...,. U.S. GOVERNMENT END USERS. Oracle programs, including any oper

Copyright 2012, Oracle and/or its affiliates. All rights reserved.,.,,,,,,,,,,,,.,...,. U.S. GOVERNMENT END USERS. Oracle programs, including any oper Windows Netra Blade X3-2B( Sun Netra X6270 M3 Blade) : E37790 01 2012 9 Copyright 2012, Oracle and/or its affiliates. All rights reserved.,.,,,,,,,,,,,,.,...,. U.S. GOVERNMENT END USERS. Oracle programs,

More information

Dialog Box 실행파일을 Web에 포함시키는 방법

Dialog Box 실행파일을 Web에 포함시키는 방법 DialogBox Web 1 Dialog Box Web 1 MFC ActiveX ControlWizard workspace 2 insert, ID 3 class 4 CDialogCtrl Class 5 classwizard OnCreate Create 6 ActiveX OCX 7 html 1 MFC ActiveX ControlWizard workspace New

More information

PowerPoint Template

PowerPoint Template JavaScript 회원정보 입력양식만들기 HTML & JavaScript Contents 1. Form 객체 2. 일반적인입력양식 3. 선택입력양식 4. 회원정보입력양식만들기 2 Form 객체 Form 객체 입력양식의틀이되는 태그에접근할수있도록지원 Document 객체의하위에위치 속성들은모두 태그의속성들의정보에관련된것

More information

SBR-100S User Manual

SBR-100S User Manual ( 1 / 13 ) SBR-100S 모델에 대한 사용자 펌웨어 업그레이드 방법을 안내해 드립니다. SBR-100S 는 신규 펌웨어가 있을시 FOTA(자동업데이트) 기능을 통하여 자동 업그레이드가 되며, 필요시 사용자가 신규 펌웨어를 다운받아 수동으로 업그레이드 할 수 있습니다. 1. 준비하기 1.1 연결 장치 준비 펌웨어 업그레이드를 위해서는 SBR-100S

More information

Chapter 1

Chapter 1 3 Oracle 설치 Objectives Download Oracle 11g Release 2 Install Oracle 11g Release 2 Download Oracle SQL Developer 4.0.3 Install Oracle SQL Developer 4.0.3 Create a database connection 2 Download Oracle 11g

More information

사용자계정관리 1. 사용자계정관리 사용자 (user), 그룹 (group) u 다중사용자시스템 (Multi-User System) - 1 대의시스템을동시에여러사람이접속하여쓸수있게하는시스템 u 사용자 (user) - 시스템관리자 : root (=Super user) -

사용자계정관리 1. 사용자계정관리 사용자 (user), 그룹 (group) u 다중사용자시스템 (Multi-User System) - 1 대의시스템을동시에여러사람이접속하여쓸수있게하는시스템 u 사용자 (user) - 시스템관리자 : root (=Super user) - 운영체제실습 사용자계정관리 2017. 6 표월성 wspyo74@naver.com cherub.sungkyul.ac.kr 목차 Ⅰ. 사용자계정관리 1. 사용자계정관리 2. 그룹관리 3. 사용자계정관련파일 4. 패스워드관리 5. 사용자신분확인 사용자계정관리 1. 사용자계정관리 사용자 (user), 그룹 (group) u 다중사용자시스템 (Multi-User System)

More information

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx #include int main(void) { int num; printf( Please enter an integer "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 을 작성하면서 C 프로그램의

More information

인켈(국문)pdf.pdf

인켈(국문)pdf.pdf M F - 2 5 0 Portable Digital Music Player FM PRESET STEREOMONO FM FM FM FM EQ PC Install Disc MP3/FM Program U S B P C Firmware Upgrade General Repeat Mode FM Band Sleep Time Power Off Time Resume Load

More information

4S 1차년도 평가 발표자료

4S 1차년도 평가 발표자료 모바일 S/W 프로그래밍 안드로이드개발환경설치 2012.09.05. 오병우 모바일공학과 JDK (Java Development Kit) SE (Standard Edition) 설치순서 Eclipse ADT (Android Development Tool) Plug-in Android SDK (Software Development Kit) SDK Components

More information

<4D F736F F F696E74202D C61645FB3EDB8AEC7D5BCBA20B9D720C5F8BBE7BFEBB9FD2E BC8A3C8AF20B8F0B5E55D>

<4D F736F F F696E74202D C61645FB3EDB8AEC7D5BCBA20B9D720C5F8BBE7BFEBB9FD2E BC8A3C8AF20B8F0B5E55D> VHDL 프로그래밍 D. 논리합성및 Xilinx ISE 툴사용법 학습목표 Xilinx ISE Tool 을이용하여 Xilinx 사에서지원하는해당 FPGA Board 에맞는논리합성과정을숙지 논리합성이가능한코드와그렇지않은코드를구분 Xilinx Block Memory Generator를이용한 RAM/ ROM 생성하는과정을숙지 2/31 Content Xilinx ISE

More information

Internet Explorer 11 자동업데이트방지 사용자가이드 작성일 : Version 1.0

Internet Explorer 11 자동업데이트방지 사용자가이드 작성일 : Version 1.0 Internet Explorer 11 자동업데이트방지 사용자가이드 작성일 : 2013.11 Version 1.0 Table of Contents 1 개요... 1 1.1 윈도우업데이트를통한 Internet Explorer 11 자동배포... 1 1.2 자동배포적용대상... 1 1.3 자동배포방지... 1 2 Blocker Toolkit 배치파일을통한자동배포방지...

More information

ODS-FM1

ODS-FM1 OPTICAL DISC ARCHIVE FILE MANAGER ODS-FM1 INSTALLATION GUIDE [Korean] 1st Edition (Revised 4) 상표 Microsoft, Windows 및 Internet Explorer는 미국 및 / 또는 다른 국가에서 Microsoft Corporation 의 등록 상표입 Intel 및 Intel Core

More information

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론 이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론 2. 관련연구 2.1 MQTT 프로토콜 Fig. 1. Topic-based Publish/Subscribe Communication Model. Table 1. Delivery and Guarantee by MQTT QoS Level 2.1 MQTT-SN 프로토콜 Fig. 2. MQTT-SN

More information

Windows Server 2012

Windows Server  2012 Windows Server 2012 Shared Nothing Live Migration Shared Nothing Live Migration 은 SMB Live Migration 방식과다른점은 VM 데이터파일의위치입니다. Shared Nothing Live Migration 방식은 Hyper-V 호스트의로컬디스크에 VM 데이터파일이위치합니다. 반면에, SMB

More information

EndNote X2 초급 분당차병원도서실사서최근영 ( )

EndNote X2 초급 분당차병원도서실사서최근영 ( ) EndNote X2 초급 2008. 9. 25. 사서최근영 (031-780-5040) EndNote Thomson ISI Research Soft의 bibliographic management Software 2008년 9월현재 X2 Version 사용 참고문헌 (Reference), Image, Fulltext File 등 DB 구축 참고문헌 (Reference),

More information

Frama-C/JESSIS 사용법 소개

Frama-C/JESSIS 사용법 소개 Frama-C 프로그램검증시스템소개 박종현 @ POSTECH PL Frama-C? C 프로그램대상정적분석도구 플러그인구조 JESSIE Wp Aorai Frama-C 커널 2 ROSAEC 2011 동계워크샵 @ 통영 JESSIE? Frama-C 연역검증플러그인 프로그램분석 검증조건추출 증명 Hoare 논리에기초한프로그램검증도구 사용법 $ frama-c jessie

More information

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우. 소프트웨어매뉴얼 윈도우드라이버 Rev. 3.03 SLP-TX220 / TX223 SLP-TX420 / TX423 SLP-TX400 / TX403 SLP-DX220 / DX223 SLP-DX420 / DX423 SLP-DL410 / DL413 SLP-T400 / T403 SLP-T400R / T403R SLP-D220 / D223 SLP-D420 / D423

More information

Endpoint Protector - Active Directory Deployment Guide

Endpoint Protector - Active Directory Deployment Guide Version 1.0.0.1 Active Directory 배포가이드 I Endpoint Protector Active Directory Deployment Guide 목차 1. 소개...1 2. WMI 필터생성... 2 3. EPP 배포 GPO 생성... 9 4. 각각의 GPO 에해당하는 WMI 연결... 12 5.OU 에 GPO 연결... 14 6. 중요공지사항

More information

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드] Google Map View 구현 학습목표 교육목표 Google Map View 구현 Google Map 지원 Emulator 생성 Google Map API Key 위도 / 경도구하기 위도 / 경도에따른 Google Map View 구현 Zoom Controller 구현 Google Map View (1) () Google g Map View 기능 Google

More information

금오공대 컴퓨터공학전공 강의자료

금오공대 컴퓨터공학전공 강의자료 데이터베이스및설계 Chap 1. 데이터베이스환경 (#2/2) 2013.03.04. 오병우 컴퓨터공학과 Database 용어 " 데이타베이스 용어의기원 1963.6 제 1 차 SDC 심포지움 컴퓨터중심의데이타베이스개발과관리 Development and Management of a Computer-centered Data Base 자기테이프장치에저장된데이터파일을의미

More information

Raspbian 설치 라즈비안 OS (Raspbian OS) 라즈베리파이 3 Model B USB 마우스 USB 키보드 마이크로 SD 카드 마이크로 SD 카드리더기 HDM I 케이블모니터

Raspbian 설치 라즈비안 OS (Raspbian OS) 라즈베리파이 3 Model B USB 마우스 USB 키보드 마이크로 SD 카드 마이크로 SD 카드리더기 HDM I 케이블모니터 운영체제실습 Raspbian 설치 2017. 3 표월성 wspyo74@naver.com cherub.sungkyul.ac.kr 목차 Ⅰ. 설치 1. 라즈비안 (Raspbian 설치 ) 2. 설치후, 설정 설정사항 Raspbian 설치 라즈비안 OS (Raspbian OS) 라즈베리파이 3 Model B USB 마우스 USB 키보드 마이크로 SD 카드 마이크로

More information

Tablespace On-Offline 테이블스페이스 온라인/오프라인

Tablespace On-Offline 테이블스페이스 온라인/오프라인 2018/11/10 12:06 1/2 Tablespace On-Offline 테이블스페이스온라인 / 오프라인 목차 Tablespace On-Offline 테이블스페이스온라인 / 오프라인... 1 일반테이블스페이스 (TABLESPACE)... 1 일반테이블스페이스생성하기... 1 테이블스페이스조회하기... 1 테이블스페이스에데이터파일 (DATA FILE) 추가

More information

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 : HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 : ios 3.0 이상 - 콘텐츠형식 : MP4 (H264,AAC ), MP3 * 디바이스별해상도,

More information

Amazon EBS (Elastic Block Storage) Amazon EC2 Local Instance Store (Ephemeral Volumes) Amazon S3 (Simple Storage Service) / Glacier Elastic File Syste (EFS) Storage Gateway AWS Import/Export 1 Instance

More information

레지스트리포렌식 - Regripper 를이용한 NTUSER.DAT 분석 - 학과 사이버경찰학과 학번 이름 허인호 - 1 -

레지스트리포렌식 - Regripper 를이용한 NTUSER.DAT 분석 - 학과 사이버경찰학과 학번 이름 허인호 - 1 - 레지스트리포렌식 - Regripper 를이용한 NTUSER.DAT 분석 - 학과 사이버경찰학과 학번 10141322 이름 허인호 - 1 - 목차 1. 레지스트리란? 2. NTUSER.DAT 란? 3. Reg Ripper 란? 4. Reg Ripper 실습가. NTUSER.DAT를찾아라나. NTUSER.DAT를복사하자 1) 사용자계정을이용한 NTUSER 복사

More information

디지털포렌식학회 논문양식

디지털포렌식학회 논문양식 ISSN : 1976-5304 http://www.kdfs.or.kr Virtual Online Game(VOG) 환경에서의 디지털 증거수집 방법 연구 이 흥 복, 정 관 모, 김 선 영 * 대전지방경찰청 Evidence Collection Process According to the Way VOG Configuration Heung-Bok Lee, Kwan-Mo

More information

Remote UI Guide

Remote UI Guide Remote UI KOR Remote UI Remote UI PDF Adobe Reader/Adobe Acrobat Reader. Adobe Reader/Adobe Acrobat Reader Adobe Systems Incorporated.. Canon. Remote UI GIF Adobe Systems Incorporated Photoshop. ..........................................................

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 BOOTLOADER Jo, Heeseung 부트로더컴파일 부트로더소스복사및압축해제 부트로더소스는웹페이지에서다운로드 /working 디렉터리로이동한후, wget으로다운로드 이후작업은모두 /working 디렉터리에서진행 root@ubuntu:# cp /media/sm5-linux-111031/source/platform/uboot-s4210.tar.bz2 /working

More information

Secure Programming Lecture1 : Introduction

Secure Programming Lecture1 : Introduction Malware and Vulnerability Analysis Lecture3-2 Malware Analysis #3-2 Agenda 안드로이드악성코드분석 악성코드분석 안드로이드악성코드정적분석 APK 추출 #1 adb 명령 안드로이드에설치된패키지리스트추출 adb shell pm list packages v0nui-macbook-pro-2:lecture3 v0n$

More information

BMP 파일 처리

BMP 파일 처리 BMP 파일처리 김성영교수 금오공과대학교 컴퓨터공학과 학습내용 영상반전프로그램제작 2 Inverting images out = 255 - in 3 /* 이프로그램은 8bit gray-scale 영상을입력으로사용하여반전한후동일포맷의영상으로저장한다. */ #include #include #define WIDTHBYTES(bytes)

More information

슬라이드 제목 없음

슬라이드 제목 없음 MS SQL Server 마이크로소프트사가윈도우운영체제를기반으로개발한관계 DBMS 모바일장치에서엔터프라이즈데이터시스템에이르는다양한플랫폼에서운영되는통합데이터관리및분석솔루션 2 MS SQL Server 개요 3.1 MS SQL Server 개요 클라이언트-서버모델을기반으로하는관계 DBMS 로서윈도우계열의운영체제에서만동작함 오라클관계 DBMS 보다가격이매우저렴한편이고,

More information

SBR-100S User Manual

SBR-100S User Manual ( 1 / 24 ) SBR-100S 모델에대한 SSID( 네트워크이름 ) 변경하는방법을안내해드립니다. 아래안내사항은제품의초기설정값을기준으로작성되어있습니다. 1. SSID 이란? SSID 는 Service Set Identifier 의약자로무선랜을통해젂송되는모든패킷의헤더에존재하는고유식별자이다. 무선랜클라이언트가무선랜 AP 에접속할때각무선랜을다른무선랜과구붂하기위해사용됩니다.

More information

MAX+plus II Getting Started - 무작정따라하기

MAX+plus II Getting Started - 무작정따라하기 무작정 따라하기 2001 10 4 / Version 20-2 0 MAX+plus II Digital, Schematic Capture MAX+plus II, IC, CPLD FPGA (Logic) ALTERA PLD FLEX10K Series EPF10K10QC208-4 MAX+plus II Project, Schematic, Design Compilation,

More information

Microsoft Word - UG-BetaDraft_KO_TT-OK.doc

Microsoft Word - UG-BetaDraft_KO_TT-OK.doc DocuPrint C2090 FS 사용설명서 Adobe, Adobe 로고, Acrobat Reader는 Adobe Systems Incorporated의 상표입니다. Microsoft, Windows, Windows Server는 미국 및/또는 다른 나라의 Microsoft Corporation의 등록상표 또 는 상표입니다. 소프트웨어 스크린 샷을 사용하는

More information

Spotlight on Oracle V10.x 트라이얼프로그램설치가이드 DELL SOFTWARE KOREA

Spotlight on Oracle V10.x 트라이얼프로그램설치가이드 DELL SOFTWARE KOREA Spotlight on Oracle V10.x DELL SOFTWARE KOREA 2016-11-15 Spotlight on Oracle 목차 1. 시스템요구사항... 2 1.1 지원하는데이터베이스...2 1.2 사용자설치홖경...2 2. 프로그램설치... 3 2.1 설치프로그램실행...3 2.2 라이선스사용관련내용확인및사용동의...3 2.3 프로그램설치경로지정...4

More information

제20회_해킹방지워크샵_(이재석)

제20회_해킹방지워크샵_(이재석) IoT DDoS DNS (jaeseog@sherpain.net) (www.sherpain.net) DDoS DNS DDoS / DDoS(Distributed DoS)? B Asia Broadband B Bots connect to a C&C to create an overlay network (botnet) C&C Provider JP Corp. Bye Bye!

More information

본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. [ 실습 ] 스위치장비초기화 1. NVRAM 에저장되어있는 'startup-config' 파일이있다면, 삭제를실시한다. SWx>enable SWx#erase sta

본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. [ 실습 ] 스위치장비초기화 1. NVRAM 에저장되어있는 'startup-config' 파일이있다면, 삭제를실시한다. SWx>enable SWx#erase sta [ 실습 ] 스위치장비초기화 1. NVRAM 에저장되어있는 'startup-config' 파일이있다면, 삭제를실시한다. SWx>enable SWx#erase startup-config Erasing the nvram filesystem will remove all configuration files Continue? [confirm] ( 엔터 ) [OK] Erase

More information

1

1 2/33 3/33 4/33 5/33 6/33 7/33 8/33 9/33 10/33 11/33 12/33 13/33 14/33 15/33 16/33 17/33 5) 입력을 다 했으면 확인 버튼을 클릭합니다. 6) 시작 페이지가 제대로 설정이 되었는지 살펴볼까요. 익스플로러를 종료하고 다시 실행시켜 보세요. 시작화면에 야후! 코리아 화면이 뜬다면 설정 완료..^^

More information

Eclipse 와 Firefox 를이용한 Javascript 개발 발표자 : 문경대 11 년 10 월 26 일수요일

Eclipse 와 Firefox 를이용한 Javascript 개발 발표자 : 문경대 11 년 10 월 26 일수요일 Eclipse 와 Firefox 를이용한 Javascript 개발 발표자 : 문경대 Introduce Me!!! Job Jeju National University Student Ubuntu Korean Jeju Community Owner E-Mail: ned3y2k@hanmail.net Blog: http://ned3y2k.wo.tc Facebook: http://www.facebook.com/gyeongdae

More information

YV-150-S.CHINESE1.0-1

YV-150-S.CHINESE1.0-1 Voice REC YV-50 5 C(95 F) ( ). 80 C(76 F). ......4....6...7...7...0............4. Samsung Media studio...8...9 Media studio...0 Media studio......4...5 TTS...6 TTS...7 TS File...9....0...0......4...5...5...8

More information

단계

단계 본문서에서는 Tibero RDBMS 에서제공하는 Oracle DB Link 를위한 gateway 설치및설정방법과 Oracle DB Link 사용법을소개한다. Contents 1. TIBERO TO ORACLE DB LINK 개요... 3 1.1. GATEWAY 란... 3 1.2. ORACLE GATEWAY... 3 1.3. GATEWAY 디렉터리구조...

More information

1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1) 인증서만들기 ssl]# cat   >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키 Lighttpd ( 멀티도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat

More information

chapter4

chapter4 Basic Netw rk 1. ก ก ก 2. 3. ก ก 4. ก 2 1. 2. 3. 4. ก 5. ก 6. ก ก 7. ก 3 ก ก ก ก (Mainframe) ก ก ก ก (Terminal) ก ก ก ก ก ก ก ก 4 ก (Dumb Terminal) ก ก ก ก Mainframe ก CPU ก ก ก ก 5 ก ก ก ก ก ก ก ก ก ก

More information

MF Driver Installation Guide

MF Driver Installation Guide Korean MF 드라이버 설치설명서 사용자 소프트웨어 CD-ROM... 드라이버 및 소프트웨어 정보...1 지원되는 운영 체제...1 MF 드라이버 및 MF Toolbox 설치... [쉬운 설치]를 사용한 설치...2 [사용자 정의 설치]를 사용한 설치...10 USB 케이블 연결(USB를 이용해 연결하는 경우만)...20 설치 결과 확인...21 온라인

More information

1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1) 인증서만들기 ssl]# cat   >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키 Lighttpd ( 단일도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat

More information