Registry Recon

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

소개[편집]

Registry Recon 은 ARSENAL RECON 에서 개발한 레지스트리 분석 도구로 상용도구이다. 마지막 업데이트는 2013년 1월 25일이며, 최신 버전은 v2.0.0.0530버전이다. 본 항에서는 최신버전인 v2.0.0.0530버전을 사용하였다. Registry Recon은 GUI기반이고 Windows운영체제에서 사용 가능하다. Registry Recon은 [표 1]과 같은 파일을 입력받아 레지스트리를 분석한다. Registry Recon는 이미지 마운팅, 검색 기능, 키 히스토리, 북마크, 리포트, 하이브 유효 검사, 결과 저장, 프로그램 사용 로깅 기능을 제공한다.

[표 1] Registry Recon 입력 가능한 파일
번호 입력 파일
1 각각의 레지스트리 파일
2 Encase 이미지 (single and multi part)
3 DD 이미지 (single and multi part)
4 VHD 이미지
5 로컬 드라이브


Registry Recon의 실행화면은 [그림 1] 과 같다.

[그림 1] Registry Recon 실행화면



사용법[편집]

Registry Recon은 GUI 환경으로 동작하며 처음 시작 시 좌측상단의 Evidence 메뉴에서 Add를 선택하여 Evidence 파일을 불러와야 한다. Evidence 추가 화면은 [그림 2]와 같다.

[그림 2] Registry Recon Evidence 추가 화면

이미지 파일의 경우 Mount Forensic Image 버튼을 선택하여 이미지를 마운팅 후 Add 버튼을 선택하면 된다. 또는 레지스트리 파일 있는 경로를 직접 지정하여 Evidence 파일을 불러올 수 있다. 레지스트리 파일의 경로는 [표 2]와 같다.

[표 2] Registry Recon 레지스트리 입력 파일 경로
파일 경로
NTUSER.DAT %SystemDrive%\Users\계정
ntuser.dat.LOG# %SystemDrive%\Users\계정
복원지점 레지스트리 파일 %SystemDrive%\System Volume Information
SAM %Windir%\System32\config
SECURITY %Windir%\System32\config
SOFTWARE %Windir%\System32\config
SYSTEM %Windir%\System32\config



Recon Registries 패널을 이용해 각 레지스트리의 값을 확인할 수 있다.

[그림 3] Registry Recon의 Recon Registries 패널

Recon Registries 패널에서 분석하고자 하는 키를 선택하면 [그림 4]와 같이 KeyHistory 패널을 통해 수집한 모든 Evidence의 해당 Key에 관한 레지스트리 값을 날짜별로 확인할 수 있다. 해당 위치에서 마우스 오른쪽 클릭을 하여 Export을 선택하고 자식 포함 여부를 결정하면 레지스트리 정보를 CSV형식으로 추출할 수 있다.

[그림 4] Registry Recon의 Key History 패널

분석하고자 하는 파일에 마우스 오른쪽을 클릭하면 해당 레지스트리의 값 확인, 복사, 파일추출 등을 할 수 있다. 프로그램에서 레지스트리 값은 Open In Recon View를 선택 시 [그림 5]와 같이 새로운 탭을 통해 확인할 수 있다. 파일 추출은 Recon Registries 패널에서의 추출방식과 동일하다.

[그림 5] Registry Recon의 Recon View 패널

좌측 상단의 View 메뉴에서 Value Data Viewer을 선택하면 [그림 6]과 같은 패널을 통해 해당 레지스트리 값을 16진수로 확인 할 수 있다.

[그림 6] Registry Recon의 Value Data View 패널

좌측 상단의 View 메뉴에서 Recon Report을 선택하면 [그림 7]과 같은 패널을 통해 최근 열람한 문서와 USB 사용기록을 보고서로 확인할 수 있다.

[그림 7] Registry Recon의 Recon Report 패널

이 외에 좌측 상단의 View 메뉴에서 북마크 및 검색기능을 사용할 수 있다.

도구 기능[편집]

Registry Recon를 이용해 이미지뿐만 아니라 별개의 레지스트리 파일을 분석할 수 있다. 입력할 수 이미지는 [표 3]과 같다.

[표 3] Registry Recon
입력 가능한 이미지
이미지 확장자 설명
.E01 Encase
.DD Data Dumper
.VHD Virtual Hard Disk


한글 지원 및 모든 레지스트리 파일을 정확하게 분석할 수 있지만 시간 정보가 대한민국 시간과 맞지 않아 +9 시간을 해주어야 한다는 단점이 존재한다. 레지스트리 파일 분석을 위해 각 레지스트리 정보 확인, 검색, 북마크, 16진수 뷰어 기능을 제공하고 레지스트리 정보를 사용자가 지정한 트리 위치에서 CSV 파일 포맷 형식으로 추출할 수 있다. Reports 기능을 이용해 중요 분석 결과를 보고서로 출력할 수 있다. USB 사용 내역 및 최근 문서 사용 기록을 [그림 8]과 같은 보고서 형식으로 확인할 수 있다. 보고서 기능은 2가지를 제공하고 2가지 모두 Alpha 버전이다.

[그림 8] Registry Recon의 USB Storage Devices Reports



제한사항[편집]

이미지 마운팅의 경우 기능은 존재하나 굉장히 느려 사용이 힘들다. 레지스트리 파일 수집 또한 굉장히 느리고 다른 프로그램에 의해 마운팅 된 이미지는 분석할 수 없기 때문에 Evidence Add에서 상당한 시간이 소요된다.

수사 활용 방안[편집]

수사 현장에서 레지스트리 파일의 정보를 수집 하여 분석할 경우 Registry Recon은 레지스트리의 정보를 다른 프로그램에 비하여 정확하고 빠르게 레지스트리 정보를 분석할 수 있으나 마운팅 기능이 굉장히 느리고 다른 프로그램에 의해 마운팅 된 이미지는 분석하지 못한다는 단점이 있다. 하지만 삭제된 레지스트리 파일을 복구할 수 있고 분석을 도와주는 다양한 기능과 작업한 내용을 log 및 DB로 저장해주는 기능은 레지스트리 정보를 빠르게 분석하는데 매우 유용하다.

원본 주소 "http://forensic.korea.ac.kr/DFWIKI/index.php?title=Registry_Recon&oldid=7622"