Volatility 분석
- 최초 등록일
- 2018.07.17
- 최종 저작일
- 2018.05
- 11페이지/ 한컴오피스
- 가격 1,500원
목차
1.Volatility Tools?
2.Volatile 설치에서 도움말 까지..
3.hivescan
4.hivelist
5.printkey
6.imageinfo
본문내용
%UserProfile%\Ntuser.dat – HKEY_USERS\<User SID> (linked to by HKEY_CURRENT_USER)
Windows 2000, Server 2003 및 Windows XP의 경우 다음과 같은 추가 사용자 별 파일이 파일 연결 및 COM 정보에 사용됩니다.
%UserProfile%\Local Settings\Application Data\Microsoft\Windows\Usrclass.dat (path is localized) – HKEY_USERS\<User SID>_Classes (HKEY_CURRENT_USER\Software\Classes)
Windows Vista 이상에서는 경로가 다음으로 변경되었습니다.
%UserProfile%\AppData\Local\Microsoft\Windows\Usrclass.dat (path is not localized) alias %LocalAppData%\Microsoft\Windows\Usrclass.dat – HKEY_USERS\<User SID>_Classes (HKEY_CURRENT_USER\Software\Classes)
Windows 2000은 레지스트리 하이브 (.ALT)의 대체 복사본을 보관하고 손상이 발견되면 이를 변환하려고 시도합니다. Windows XP 및 Windows Server 2003은 System.alt 하이브를 유지 관리하지 않습니다. 이러한 버전의 Windows에서 NTLDR은 System.log 파일을 처리하여 시스템 종료시 시스템 하이브가 중단되거나 충돌하는 동안 불일치하게 되기 때문입니다. 또한 % SystemRoot % \ Repair 폴더에는 설치 및 Windows의 첫 번째 성공적인 시작 후에 만들어진 시스템 레지스트리 Hive 복사본이 들어 있습니다. 각 레지스트리 데이터 파일에는 다음 시작 시 중단 된 업데이트를 완료하는 데 사용되는 트랜잭션 로그의 역할을 하는 확장명이 ".log"인 관련 파일이 있습니다. 내부적으로, 레지스트리 파일은 "셀"의 콜렉션을 포함하는 4 kB "bins"로 분할됩니다.
참고 자료
없음