정보보안기사/시스템 보안
[Windows] 윈도우 파일 시스템, 레지스트리
CyberRanger
2024. 8. 6. 15:26
1. 윈도우 파일 시스템
1.1. 윈도우 파일 시스템 특징
NTFS(New Technology File System) 주요 특징
| 특징 | 설명 |
| USN 저널 | - 저널링 기능(파일시스템 변경 시 그 내용 기록 및 복구 가능). |
| ADS(Alternative Data Stream) | - MAC 파일시스템과 호환성을 위해 만든 공간. - hidden 필드에 데이터 은닉 가능. |
| EFS(Encrypting File System) | - 대칭키 기법으로 파일 데이터 암호화. - 폴더와 파일 암호화(하위 폴더 자동 암호화). - 암호화 파일을 NTFS가 아닌 다른 볼륨으로 복사하면 복호화됨. |
| BitLocker | - 디스크 볼륨 암호화. - Windows, USB 등 파티션 전체 암호화. - PC의 모든 사용자 계정을 암호화하고, TPM(Trusted Platform Module) 하드웨어 사용. |
1.2. NTFS 파일 시스템 구조
| Volume Boot Record | Master File Table | Data Area |
Volume Boot Record(VBR): 파일 시스템 제일 처음에 있는 것으로 부트섹터, 부트코드, NTLDR 위치 등의 정보가 저장됨. VBR의 Boot Sector는 Sector 0번에 위치.
Master File Table(MFT): NTFS의 메타정보, 파일 및 디렉터리 정보(파일명, 위치, 크기, 속성 등)을 관리하는 파일.
2. 윈도우 레지스트리
윈도우의 계층형 데이터베이스로 Key, Value, Data Type, Data로 이루어짐.
2.1. 레지스트리 루트 키
| 루트 키 이름 | 설명 |
| HKEY_CLASSES_ROOT | - 파일 확장자 정보 - 프로그램 간 연결 정보 |
| HKEY_CURRENT_USER | - 현재 로그온 된 사용자 설정 정보 |
| HKEY_LOCAL_MACHINE | - 설치된 H/W, S/W 설치 드라이버 설정 정보 |
| HKEY_USERS | - 사용자 정보 |
| HKEY_CURRENT_CONFIG | - 디스플레이, 프린터 설정 정보 |
2.2. 하이브(Hive) 파일
레지스트 정보가 저장된 물리적 파일.
| 하이브 파일 | 설명 |
| SYSTEM | - 시스템 부팅에 필요한 시스템 전역 구성 정보 |
| SOFTWARE | - 시스템 부팅에 필요 없는 시스템 전역 구성 정보로 소프트웨어 정보를 가지고 있음 |
| SECURITY | - 시스템 보안정책과 권한 할당 정보로 시스템 계정만 접근 가능 |
| SAM | - 로컬 계정 정보와 그룹정보로 시스템 계정만 접근 가능 |
| HARDWARE | - 시스템 하드웨어 디스크립션과 모든 하드웨어 장치 드라이버 매핑 정보 |
2.3. Run 레지스트리 키
시작프로그램 관련 레지스트리 키는 Run, RunOnce, RunServices.
최근 실행한 명령어 정보는 RunMRU라는 키에 저장됨.
| 키 이름 | 설명 |
| Run | - 매번 시작될 때마다 실행 |
| RunOnce | - 한 번만 시작될 때 실행 |
| RunServices | - 서비스에 대한 시작프로그램 |
| RunMRU | - 최근 실행한 명령어 정보 |