https://flame-end-ecd.notion.site/CFReDS-Data-Leakage-Case-3a1ffa4612b14896afdd09ea121fbc9a
아티팩트 분석 좁은 의미에서 기술적으로 보면 운영ㅊㅔ제가 생성한 운영체제가 만들어놓은 아티팩트
써드파티 아티팩트
아티팩트 분석 -> 정보를 생성해야 한다. 결과를 저장해놓은 형태
사용자 행위분석 -> 포렌식, 복구와 포렌식은 엄연히 다르다
레지스트리 구조를 따지면 생각보다 많은 데이터를 보는 것은 아니고, 레지스트리는 분석하기에 따라 더 많은 정보를 새롭게 발견할 수 있는 보물창고 같은 것이다.
부팅과정부터 커널에 의해 하이브 파일이 관리됨 - 핸들이 열려있어 라이브 상태에서 수집하려면 별도의 도구가 필요 (커널은 컴퓨터가 종료되기 까지 계속적으로 운영되고 관리?)
Ring Zero - 커널? / Ring-1 : 웹 서버가 하는 일?
하이브 셋 - NTUSER.DAT도 항상 있지 않다. 공격자가 지웠거나(일반적인 방법이 아닌), 로그인을 한번도 하지 않았거나.(반대로 말하면 로그인을 한번이라도 한 계정이라는 것이고, NTUSER.DAT생성시간은 최초 로그인 시간으로 해석할 수 있다), USrclass.dat도 동일
레지스트리 키 내에 value는 데이터를 설명하는 메타데이터 값을 value라고 한다
DWORD : 더블워드는 4바이트 (워드는 컴퓨터 데이터 단위, 2바이트, 더블이니까 4바이트)