windows registry1 Windows Registry 실습 [Registry 파일 추출] 각각의 레지스트리가 raw 상태로 존재할 때, 이를 clean으로 만들어서 result으로 저장해야 한다. 실습을 위해 registry 폴더를 만들어 그 안에 각각 raw, clean, result 폴더를 만들어준다. FTK Imager를 열어 Add Evidence Item\Logical Drive\C 드라이브 등록을 실행한다. root\Users\사용자 계정으로 접속한다. 사용자 계정에 들어가면 NTUSER.DAT, ntuser.dat.LOG1, ntuser.dat.LOG2 파일을 확인할 수 있다. 3개의 파일을 함께 선택한 다음에 Export files 버튼을 누른다. registry\raw 폴더에 Export files 한 파일을 저장한다. root\windows\S.. 2022. 7. 23. 이전 1 다음
