소개[편집]

RegRipperRunner는 Woanware에서 개발한 레지스트리 분석 도구이며, 오픈소스로 제공된다. 최신 업데이트 일자는 2013년 7월 16일이며, 최신 버전은 v1.0.3이다. RegRipperRunner는 Windows 운영체제 환경에서 사용가능하다. RegRipperRunner는 자체적인 기능을 지원하는 것이 아니라 이전 절에서 설명한 RegRipper의 rip.exe가 설치되어 있는 환경에서 rip.exe를 이용하여 기존의 CUI 환경인 rip.exe를 GUI 환경에서 작동할 수 있도록 제작한 도구이다. RegRipperRunner의 실행 화면은 [그림 1]과 같다.

[그림 1] RegRipperRunner 실행 화면

사용법[편집]

RegRipperRunner를 처음 실행할 경우 rip.exe의 경로를 넣어달라는 창이 [그림 2]와 같이 나타난다. rip.exe가 있는 디렉터리를 지정하면 [그림 1]과 같은 실행 화면이 나타난다.

[그림 2] rip.exe가 위치한 경로 지정 화면

RegRipperRunner는 Single Plugins, Multiple Plugins, All Plugins, Filter 기능을 지원한다. Single Plugins은 [그림 1]과 같이 하나의 플러그인을 선택하여 Parsing을 수행한다. Multiple Plugins을 선택할 경우 [그림 3]과 같이 콤보 박스 형태로 플러그인을 선택할 수 있도록 화면이 전환된다.

[그림 3] RegRipperRunner의 Multiple Plugins 화면

All Plugins을 선택할 경우 [그림 4]와 같이 모든 콤보 박스의 체크 표시가 활성화 된다.

[그림 4]RegRipperRunner의 All Plugins 화면

Filter를 선택할 경우 Mode의 우측 Filter의 리스트 박스가 활성화 되며 활성화된 Filter에서 선택된 Hive에 해당하는 플러그인에 대해서만 콤보 박스의 체크 표시가 활성화된다. [그림 5]는 Filter에서 ntuser를 선택한 결과이다.

[그림 5] RegRipper의 Filter 중 ntuser 선택 화면

도구 기능[편집]

RegRipperRunner가 지원하는 플러그인 목록은 상기한 RegRipper의 플러그인 목록과 동일하다. RegRipperRunner가 지원하는 Filter 목록은 RegRipper의 Profile 목록과 동일하다. RegRipperRunner는 Hive 파일을 직접 선택하거나, Hive 파일이 위치한 폴더를 선택하여 Parsing 작업을 수행할 수 있다. [그림 6]은 Tool 메뉴에서 Run Hive를 선택하 NTUSER.DAT Hive 파일을 Parsing한 결과이다.

[그림 6] RegRipperRunner로 NTUSER.DAT를 Parsing한 결과

제한사항[편집]

RegRipperRunner는 RegRipper의 rip.exe를 사용하는 도구로 RegRipper가 가지고 있는 한글 깨짐 오류를 그대로 가지고 있다. 플러그인 문제 역시 플러그인의 대상이 최신 버전일 경우 출력 결과에 지원하지 않는 버전이라는 메시지를 출력한다. 또한 출력 결과를 파일로 제공하지 않으므로 파일 형태의 저장을 위해서는 결과 창의 내용을 수동으로 복사하여 저장해야하는 번거로움이 존재한다.

수사 활용 방안[편집]

RegRipperRunner는 기존 CUI 환경에서의 RegRipper가 플러그인을 사용하기 위해서 일일이 수동으로 플러그인 명을 입력하여야 하는 번거로움을 제거하고, 각각의 플러그인이 지원하는 Windows 버전과 대상 Hive를 시각화하여 추출하기 위한 정보만을 체크하여 여러 Hive를 대상으로 한 번에 작업할 수 있으므로, 수사에 있어 레지스트리의 불필요한 정보까지 얻게 되는 불편함을 없앨 수 있다.