X-Ways Forensics

실무 활용 매뉴얼

레지스트리 증거 분석 [ by 김종광 ]

레지스트리 증거 분석
경로를 이용하여 Registry 파일을 직접 찾아 분석할 수 있습니다.
C:\Users\[UserName]\NTUSER.DAT

  • NTUSER.DAT

    - 사용자 Profile을 저장하고 있는 데이터로써, 시스템에 등록된 계정마다 하나 씩 존재합니다.

레지스트리 증거 분석
경로를 이용하여 Registry 파일을 직접 찾아 분석할 수 있습니다.
C:\Windows\System32\Config

레지스트리 증거 분석
Registry 파일을 Name 컬럼 필터를 통해 분류합니다.

레지스트리 증거 분석
분류 된 SAM, SECURITY, SOFTWARE, SYSTEM 파일을 확인할 수 있습니다.

레지스트리 증거 분석
File Type으로 필터링 하여 Registry 파일을 분류할 수 있습니다.
[ Explore recursively ] 기능을 통해 C Partitition의 모든 파일보기를 선택합니다.

레지스트리 증거 분석
Type 필터 버튼을 클릭합니다.
Registry 관련 필터 항목은 [ Windows Registry ] 폴더에 위치합니다.

레지스트리 증거 분석
필터를 적용하면 아래와 같이 필터링 된 결과를 확인할 수 있습니다.

  • SAM

    - 로컬 계정 정보와 그룹 정보에 대한 정보를 저장합니다.

  • SECURITY

    - 시스템 보안 정책과 권한 할당 정보를 저장합니다.

  • SYSTEM

    - 시스템 부팅에 필요한 구성 정보를 저장합니다.

  • SOFTWARE

    - 윈도우에 설치된 응용프로그램에 대한 정보를 저장합니다.

레지스트리 증거 분석
분석이 필요한 파일을 클릭 후 View 옵션을 실행합니다.

레지스트리 증거 분석
Registry Viewer가 실행됩니다.
레지스트리 분석은 [ Registry Artifact Forensic ] 페이지를 참고 부탁드립니다.