Registry Decoder

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

소개[편집]

Registry Decoder 은 Digital Forensics Solutions 에서 개발한 레지스트리 분석 도구로 오픈소스이다. 최신 업데이트 일자는 2012년 3월 21일이며, 최신 버전은 1.1이다. Registry Decoder은 GUI기반이고 Windows운영체제에서 사용 가능하다. Registry Decoder은 [표 1]과 같은 파일을 입력받아 레지스트리를 분석한다. Registry Decoder는 검색 기능과 여러 레지스트리 플러그인, 다른 레지스트리와의 차이점 분석, 타임라인 기능을 제공한다.

[그림 1] Registry Decoder 실행 화면
[표 1] Registry Decoder 입력 가능한 파일
번호 입력 파일
1 각각의 레지스트리 파일
2 Full Disk 이미지
3 Partition 이미지
4 Split 이미지
5 Encase (E01) 이미지
6 Registry Decoder이 생성한 백업 데이터베이스


Registry Decoder의 실행화면은 [그림 1]과 같다.

사용법[편집]

Registry Decoder은 GUI 환경으로 동작하며 처음 시작 시 케이스를 새로 생성하거나 기존 케이스를 불러와야 한다. 케이스 생성화면은 [그림 2]와 같다.

[그림 2] Registry Decoder 케이스 생성화면

생성 완료 후 [그림 3]에서 Add Evidence 버튼을 선택하여 해당 이미지 파일을 입력한다.

[그림 3] Registry Decoder Evidence 삽입 화면

분석을 시작하면 총 5가지의 기능을 가진 화면이 출력된다. 기능들 모두 레지스트리가 있는 파티션을 선택해 주어야 한다. File View의 경우 [그림 4]와 같이 레지스트리가 있는 파티션을 선택한 후 분석할 레지스트리를 선택한 후 View 버튼을 선택하면 해당 결과를 확인할 수 있다.

[그림 4] Registry Decoder File View 화면

Search와 Path Analysis 기능 모두 Find View와 같이 레지스트리가 있는 파티션과 분석할 레지스트리를 선택한 후 탐색할 정보와 필터링할 정보를 입력한 후 각 해당 버튼을 선택하면 해당 결과를 확인할 수 있다. Plugins 기능 역시 앞에서 설명한 기능과 같이 레지스트리가 있는 파티션과 분석할 레지스트리를 선택한다. 이후 앞에서 선택한 레지스트리와 같은 이름을 Filter By Hive Type에서 설정하여 원하는 Plugins를 선택한다. 이후 Run Plugin 버튼을 선택하여 해당 결과를 확인할 수 있다. Timeline 기능 또한 레지스트리가 있는 파티션과 분석할 레지스트리를 선택한 후 필터링 정보와 파일 포맷, 저장할 경로를 선택한 후 Timeline 버튼을 선택하면 Timeline 파일이 출력된다.

도구 기능[편집]

Registry Decoder를 이용해 입력한 이미지의 레지스트리 파일 정보를 확인할 수 있고 검색할 정보과, 경로를 입력하여 필터링할 수 있다. 또한 Plugins기능을 통해 각 레지스트리의 해당 내용을 상세히 확인할 수 있다. timeline 기능을 이용해 시간 순서대로 레지스트리 내용을 확인할 수 있다. Reporting 기능을 이용해 Plugins, Searches, Path와 같이 각 기능에 대한 결과를 CSV 파일로 저장할 수 있고 모든 결과를 한번에 CSV 파일로 저장할 수 있다. 메뉴의 File 탭을 선택하여 Backup Case를 선택하면 [그림 5]와 같은 파일이 생성되는데 이후 케이스 이미지가 없어도 이 생성된 파일을 이용해 레지스트리 분석을 할 수 있다.

[그림 5] Registry Decoder backup case 파일



제한사항[편집]

암호화 상태의 이미지의 경우 분석이 불가능하며 레지스트리의 모든 플러그인 기능을 제공하지 못한다.

수사 활용 방안[편집]

수사 현장에서 레지스트리 파일의 정보를 수집 하여 분석할 경우 Registry Decoder은 레지스트리의 정보를 다른 프로그램에 비하여 느리게 분석하고 모든 레지스트리의 정보를 분석하지 못하는 단점을 가지고 있다. 또한 라이브 시스템의 분석을 지원하지 않기 때문에 수사 현장에서 사용하기엔 부적합하다.