geunyeong's blog

Table of Contents Abstract 본 글에서는 Windows의 버전 관련 정보를 얻을 수 있는 레지스트리를 알아보고, 기존 레지스트리로는 구분할 수 없는 10과 11을 구분할 수 있는 또 다른 레지스트리에 대해 찾아보고 소개하는 내용을 담았다. 혹여, Windows 10과 11을 구분하고자 하는 사람들에게 도움이 되길 바란다. Windows Registry where it was stored 윈도우 레지스트리의 어느 곳에서 윈도우 버전 관련 정보를 얻을 수 있는지 알아보자. Common Informations 먼저 일반적인 Windows 버전 관련 정보를 얻을 수 있는 레지스트리 키는 아래와 같다. Windows Key 7 HKLM\SOFTWARE\Microsoft\Windows NT\Cu..

2019 DFC AF 200 문제는 하이브 파일의 레지스트리를 복구하고, 복구한 레지스트리에서 숨어 있는 파일을 찾아내는 문제였다. vk 셀 복구하는 방법을 AF 200 문제로 알아보자. 하이브 파일은 레지스트리 헤더와 여러 개의 하이브 빈 파일로 이루어져있다. 하이브 빈은 또 여러 개의 셀을 포함하고 있다. 셀은 레지스트리에서 키와 값을 저장하는 구조체다. 종류에 따라 각각의 시그니처를 가지고 있는데, 키를 의미하는 셀은 nk라는 시그니처를, 값을 가지고 있는 셀은 vk라는 시그니처를 가지고 있다. 010 Editor로 2019 DFC AF200 문제로 주어진 하이브 파일을 열면 레지스트리 헤더와 하이브 빈 구조들을 볼 수 있다. 하이브 빈 구조들은 시작 오프셋 값이 모두 0x1000(4096)의 배수..

OtterCTF 메모리 포렌식 문제를 풀다가 현재 시스템에 로그인 중인 사용자를 알아봐야 할 필요가 생겼다. 열심히 구글링 해보니 아래 레지스트리 경로에 마지막으로 로그온 한 사용자가 저장되어 있다고 한다. 제법 유명한 디지털 포렌식 책에도 마지막 로그온 사용자 정보를 아래 레지스트리에서 볼 수 있다고 적혀있다. * Key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon * Value name: DefaultUserName 그런데 값 이름이 DefaultUserName인게 영 찝찝했다. 영문 사이트들에서도 시스템 부팅 시 자동 로그온 설정할 때 이 레지스트리 값을 건드리고, 마지막 로그온 사용자를 알아볼 때 사용하진 않는 것 같았다. OtterC..

# Shellbags 레지스트리를 설명하는 글들은 너무나도 많다. 하지만 레지스트리가 언제 생성되고 갱신되는지를 설명하는 글은 없는 듯하여 조사해봤다. 맨 밑에 요약 정리가 있다. 귀찮으면 스크롤바 쭉 내리면 된다. #환경 Windows 10 Pro x64 1909 버전을 가상머신에 설치해 분석했다. #탐색기 - 폴더 열람 후 정상종료 가장먼저 explorer.exe를 사용하여 폴더를 탐색하는 경우를 조사했다. 초기 Shellbags 레지스트리 모습이다. 설치 직후인데 BagMRU 키 밑에 0, 1, 1/0, 총 3개 키가 처음부터 존재했다. 탐색기 주소창을 이용해 %UserProfile%(사용자 홈폴더) 경로에 직접 접근한 후 레지스트리를 확인해봤다. 아무런 변화가 없다. 탐색기를 정상 종료한 후 레지..