728x90 레지스트리8 디지털 포렌식 - 증거 수집 파일 및 레지스트리 경로 레지스트리 파일(SAM, SOFTWARE, SYSTEM, SECURITY, NTUSER) 경로 파일 경로: C:\Windows\System32\configC:\users\{사용자명}\NTUSER.DAT 쓰기 방지 레지스트리 경로: HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Control > StorageDevicePolicies WriteProtect 생성(REG_DWORD) > 값을 1로 설정 연결됐던 USB의 볼륨명, 시리얼넘버, 볼륨 GUID, 마지막 연결 해제 시간, 사용자 계정 정보 등 파일 경로: Windows > inf > Setupapi.dev.log USB Device Class ID(Vener Name + Product Na.. 2024. 11. 13. 윈도우 - 레지스트리 프로그램 자동 실행 등록(\CurrentVersion\Run) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce Run: 매번 컴퓨터가 부팅될 때마다 실행 RunOnce: 컴퓨터가 부팅될 때 한번만 실행 cmd.exe reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "auto run.. 2023. 5. 17. 파이썬 - 레지스트리 조작(winreg) import winreg # 레지스트리 키 생성 key_path = r"Software\MyExampleKey" try: key = winreg.CreateKey(winreg.HKEY_CURRENT_USER, key_path) print("키 생성 성공") except: print("키 생성 실패") # 레지스트리 키에 값 설정 value_name = "ExampleValue" value_data = "Hello, Registry!" try: winreg.SetValueEx(key, value_name, 0, winreg.REG_SZ, value_data) winreg.CloseKey(key) print("값 설정 성공") except: print("값 설정 실패") # 레지스트리 키에서 값 읽기 try.. 2023. 5. 5. 파이썬 - 맥 주소 변경(changeMAC) changeMAC.py (관리자 권한 필요) from winreg import * import os, time def run(adapterName, adapterType="Wi-Fi"): aReg = ConnectRegistry(None, HKEY_LOCAL_MACHINE) aKey = OpenKey(aReg, r"SYSTEM\CurrentControlSet\Control\Class\{4d36e972-e325-11ce-bfc1-08002be10318}") oKey = None sValue = None for i in range(255): try: aValue_name = EnumKey(aKey, i) oKey = OpenKey(aKey, aValue_name) sValue = QueryValueEx(oK.. 2023. 5. 2. 윈도우 - 맥 주소(MAC Address) 변경 with 레지스트리 수정 수동으로 맥 주소 변경: 장치 관리자 > 네트워크 어댑터 > 속성 > 고급 > 로컬 관리 주소 > 값 수정 맥 주소, 사설 아이피 변경 확인 명령어 ipconfig /all cmd로 레지스트리 수정(관리자 권한 실행 필요) reg add HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\0001 /v NetworkAddress /d 000000000000 # 이더넷일 경우 netsh interface set interface "이더넷" disable netsh interface set interface "이더넷" enable # 와이파이일 경우 netsh interface set interface "Wi-F.. 2023. 5. 2. 윈도우 - 제어판, 앱 및 기능 삭제가 되지 않는 경우 사진과 같이 제거가 비활성화되어 삭제를 할 수가 없는 경우(파일은 제거가 되었지만 기록에서 지워지지 않는 상태) 레지스트리 경로 컴퓨터\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\ 레지스트리에서 위 경로로 이동해 준다. Uninstall 키 아래에는 또 여러 가지의 하위 키들이 존재하는데 그중에서 DisplayName의 값이 내가 기록에서 지우고 싶은 것인 키를 확인하고 그 키를 지워준 출처: https://seogilang.tistory.com/1793 윈도우10 앱 및 기능 남은 목록 삭제 방법 윈도우10은 앱 및 기능을 통해 설치한 앱(프로그램)을 삭제할 수 있다. 하지만 파일을 강제 삭제하는 .. 2022. 10. 30. 윈도우 - C:\Users\[사용자 이름] 변경하기 1. 파일 탐색기에서 C:\Users\[사용자 이름] 폴더 이름 변경하기 2. regedit에서 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList 데이터 수정 윈도우 + R > regedit 입력 > 확인 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList 경로로 이동한 뒤 ProfileList 안에 들어있는 서브 키들을 열람을 해서 바꾸고 싶은 ProfileImagePath를 수정 3. 로그아웃 혹은 재부팅 다 마쳤다면 재부팅이나 로그아웃 참고: https://www.tabmode.com/windows10/win10-user-name-.. 2022. 10. 15. 디지털 포렌식 - USB 접속 기록 확인 장치 관리자 장치 관리자 - 보기(V) - 숨겨진 장치 표시(W) 디스크 드라이브 - 우클릭 속성(R) - 자세히 - 마지막 제거 날짜 레지스트리 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR -확인가능 정보 : USB의 Unique Instance 및 USBSTOR의 Subkey를 분석할 경우 이미 해당 시스템에서 사용하거나 사용했던 USB 장치를 확인 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USB -확인가능 정보 : USBSTOR에서 확인한 USB의 Unique Instance를 찾으면 USB의 제조사 아이디(VID)와 제품ID(PID) 확인 가능 HKEY_LOCAL_MACHINE\SOFTWARE\Mi.. 2022. 9. 12. 이전 1 다음 728x90
HackLog
