[Forensic] Registry
Updated:
Registry
레지스트리 파일을 수집하는 실습을 해보자. 레지스트리 값들은 아래의 파일들에 나뉘어 저장되며, 아래와 같이 레지스트리가 실제로 저장되는 물리적인 파일을 레지스트리 하이브(hive)라고 한다.
| 하이브 | 설명 | 파일 경로 |
|---|---|---|
| SYSTEM | 시스템 관련 설정 | C:\Windows\System32\config\SYSTEM |
| SOFTWARE | 설치된 프로그램, OS 설정 | C:\Windows\System32\config\SOFTWARE |
| SECURITY | 보안 관련 정보 | C:\Windows\System32\config\SECURITY |
| SAM | 사용자 계정 정보 | C:\Windows\System32\config\SAM |
| DEFAULT | 기본 사용자 프로파일 설정 | C:\Windows\System32\config\DEFAULT |
| NTUSER.DAT | 개별 사용자 설정 (로그온 계정) | C:\Users\{username}\NTUSER.DAT |
| UsrClass.dat | 사용자 클래스 정보 (프로그램 연동 등) | C:\Users\{username}\AppData\Local\Microsoft\Windows\UsrClass.dat |
레지스트리 파일을 수집하기 위해서 FTK Imager를 사용할 수 있다. FTK Imager에서 Logical Drive -> 운영체제가 설치된 볼륨을 선택하여 볼륨을 로드해준다. 이후 위 경로의 파일들을 추출해서 저장하면 된다. 이때 해당 경로에서 수집 대상 파일에 대응되는 .LOG1, .LOG2파일을 같이 수집해야 한다.
이렇게 수집한 레지스트리는 dirty상태이므로 Log1, Log2에 남아 있는 데이터를 레지스트리에 통합시켜야 한다.
rla.exe를 이용해서 다음 명령어로 통합시킨다. registry폴더에 추출한 레지스트리 파일들이 있다.
C:\Users\Administrator\Desktop\rla\rla.exe -d "C:\Users\Administrator\Desktop\LLL\find the usb\registry" --out "C:\Users\Administrator\Desktop\LLL\find the usb\registry_clean"
이렇게 clean된 파일들은 registry_clean폴더에 있고 해당 파일들은 registry explorer를 이용해 분석할 수 있다.
Leave a comment