3. OS information

[Question]

Explain installed OS information in detail.

(OS name, install date, registred owner...)

 

① 분석 도구

• Arsenal Image Mounter
• RegistryExplorer

② 관련 레지스트리 경로

• HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion

③ 레지스트리

• 마이크로소프트 윈도우 32/64비트 버전과 윈도우 모바일 운영체제의 설정과 선택 항목을 담고 있는 데이터베이스로, 모든 하드웨어, 운영체제 소프트웨어, 대부분의 비운영 체제 소프트웨어, 사용자 PC 선호도 등에 대한 정보와 설정이 들어있습니다.
• 레지스트리는 키(Key)와 값(Value)이라는 두 가지 기본 요소를 포함하고 있습니다.
• 레지스트리의 키는 폴더와 비슷합니다. 값과 더불어 각 키는 서브키를 가질 수 있습니다. 키는 계급 수준을 지시하기 위해 백슬래시(\)를 사용하면서 Windows라는 경로 이름과 비슷한 구문으로 가리킵니다.
• 레지스트리 값은 키 안에 들어있는 이름/자료입니다. 값은 여러 키로부터 따로 참조할 수 있습니다.
• 레지스트리는 수많은 논리를 구분하는 '하이브(hive)'로 나눌 수 있습니다. (위키백과)

④ HIVE 파일

• 하이브 파일은 레지스트리 정보를 저장하고 있는 물리적 파일이며, 키 값들을 논리적인 구조로 저장합니다. 하이브 파일은 커널에서 관리가 되기 때문에 활성 시스템 상태일 때에는 일반적인 방법으로 접근이 불가능합니다.(https://ws1004-4n6.notion.site/)
• 종류 (위키백과)
  • HKEY_CLASSES_ROOT(HKCR) : 파일 연결, OLE 객체 클래스 ID와 같은 등록된 응용 프로그램의 정보를 담고 있습니다. 윈도우 2000 이후로 HKCR은 HKCU\SOFTWARE\Classes와 HKLM\SOFTWARE\Classes를 편집합니다. 주어진 값이 위의 서브키의 두 곳에 존재한다면, HKCU\SOFTWARE\Classes의 항목을 사용합니다.
  • HKEY_CURRENT_USER(HKCU) : 현재 로그인한 사용자의 설정을 담고 있습니다.
  • HKEY_LOCAL_MACHINE(HKLM) : 컴퓨터의 모든 사용자의 설정을 담고 있습니다.
  • HKEY_USERS(HKU) : 컴퓨터에서 사용 중인 각 사용자 프로파일에 대한 HKEY_CURRENT_USER 키에 일치하는 서브키를 담고 있습니다.
  • HKEY_CURRENT_CONFIG : 실행 시간에 수집한 자료를 담고 있습니다. 이 키에 저장된 정보는 디스크에 영구적으로 저장되지 않고 시동 시간에 생성됩니다.
  • HKEY_PERFORMANCE_DATA : 런타임 성능 데이터 정보를 제공합니다. 이 키는 레지스트리 편집기에 보이지 않지만 윈도우 API의 레지스트리 명령어를 통해 볼 수 있습니다.
  • HKEY_DYN_DATA : 이 키는 윈도우 95, 윈도우 98, 윈도우 Me에만 쓰입니다. 플로그 앤 플레이를 비롯한 하드웨어 장치, 네트워크 성능 통계에 대한 정보를 포함한다.

④ 분석 결과

• 관련 레지스트리 경로에 들어가면 InstallDate, ProductName, RegistredOwner 등의 정보가 담겨 있습니다.

OS information detail

OS name	Install date	Registered Owner
Window 7 Ultimate	2015-03-22 14:34:26 (GMT+0)	informant