[Registry 파일 추출]
각각의 레지스트리가 raw 상태로 존재할 때, 이를 clean으로 만들어서 result으로 저장해야 한다. 실습을 위해 registry 폴더를 만들어 그 안에 각각 raw, clean, result 폴더를 만들어준다.
FTK Imager를 열어 Add Evidence Item\Logical Drive\C 드라이브 등록을 실행한다.
root\Users\사용자 계정으로 접속한다. 사용자 계정에 들어가면 NTUSER.DAT, ntuser.dat.LOG1, ntuser.dat.LOG2 파일을 확인할 수 있다.
3개의 파일을 함께 선택한 다음에 Export files 버튼을 누른다. registry\raw 폴더에 Export files 한 파일을 저장한다.
root\windows\System32\config로 접속한다. config에 들어가면 DEFAULT, DEFAULT.LOG1, DEFAULT.LOG2, SAM, SAM.LOG1, SAM.LOG2, SECURITY, SECURITY.LOG1, SECURITY.LOG2, SOFTWARE, SOFTWARE.LOG1, SOFTWARE.LOG2 파일을 확인할 수 있다.
12개의 파일을 함께 선택한 다음에 Export files 버튼을 누른다. registry\raw 폴더에 Export files 한 파일을 저장한다.
[분석 도구 다운로드]
1. REGA
http://forensic.korea.ac.kr/tools.html
http://forensic.korea.ac.kr/tools.html
forensic.korea.ac.kr
현재 시스템 레지스트리 수집을 실행한다. FTK Imager와 달리 자동으로 레지스트리를 수집해준다.
레지스트리 수집 결과이다. FTK Imager와 달리 LOG 1, 2 파일이 제대로 저장되지 않는 경우가 발생한다.
수집한 raw 파일에 대한 레지스트리 분석을 실행한다.
윈도우 설치 정보, 사용자 계정 정보, 실행 명령 등을 확인할 수 있다.
2. RLA
https://ericzimmerman.github.io/#!index.md
Eric Zimmerman's tools
ericzimmerman.github.io
dirty한 raw를 clean으로 바꿔주는 도구이다.
-d 옵션 뒤에는 RLA을 적용할 dirty한 raw가 들어있는 폴더를 지정하고, --out 옵션 뒤에는 RLA 적용 결과를 저장할 폴더를 지정한다.
3. Regripper
https://github.com/keydet89/RegRipper3.0
GitHub - keydet89/RegRipper3.0: RegRipper3.0
RegRipper3.0. Contribute to keydet89/RegRipper3.0 development by creating an account on GitHub.
github.com
GUI 버전인 rr.exe를 실행한다. Hive file에 RLA 적용 결과로 만들어진 clean한 raw를 업로드하고, Rip! 버튼을 눌러 실행한다. 실행 결과로 Regripper의 Plugin 목록을 확인할 수 있다.
'포렌식 > 기초부터 따라하는 디지털 포렌식' 카테고리의 다른 글
| $LogFile, $UsnJrnl 개념 및 실습 (0) | 2022.07.27 |
|---|---|
| $MFT 개념 및 실습 (0) | 2022.07.27 |
| Registry 개념 및 실습 (0) | 2022.07.17 |
| OlympicDestroyer - Volatility Contest 2018 풀이 (1) | 2022.07.14 |
| CTF-d, GrrCon 2015 풀이 (0) | 2022.07.12 |
