REGA(Registry Analyzer)

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

소개

REGA는 4&6Tech에서 개발한 레지스트리 분석 도구로 유료이다. 마지막 업데이트는 2013년 10월 22일이며, 최신 버전은 1.5.0.4버전이다. REGA는 GUI기반이며 Windows운영체제에서 사용 가능하다. REGA는 [표 1]과 같은 파일을 입력받아 레지스트리를 분석한다. REGA는 사용자 활동 정보, 시스템 설정 정보, 응용프로그램 정보, 네트워크 정보, 하드웨어 정보를 분석하고 보고서 기능과 검색 기능을 제공한다.

[표 1] REGA 레지스트리 입력 파일
파일 경로
NTUSER.DAT %SystemDrive%\Users\계정
ntuser.dat.LOG# %SystemDrive%\Users\계정
SAM %Windir%\System32\config
SECURITY %Windir%\System32\config
SOFTWARE %Windir%\System32\config
SYSTEM %Windir%\System32\config



사용법

REGA는 GUI환경으로 동작하며, 레지스트리 파일을 수집, 분석, 열기를 할 수 있다. 좌측 상단의 파일 탭에서 [그림 2]와 같은 기능을 선택할 수 있다.

[그림 1] REGA 실행화면
[그림 2] REGA 레지스트리 파일 수집 및 분석 선택 메뉴

(1) 레지스트리 파일 수집을 선택하면 현재 시스템 레지스트리 수집과 복원 지점 레지스트리 수집을 선택할 수 있다. (2) 레지스트리 분석(M)을 선택 후 분석할 시간대를 설정하면 [그림 3]과 같이 사건정보를 입력하고 폴더선택 버튼을 이용해 수집한 레지스트리 파일 또는 직접 경로를 설정하여 레지스트리 파일을 입력한다. 레지스트리 파일 내부의 미할당영역을 검색할 때에는 하단의 “레지스트리 파일 내부의 미할당영역 검색 + 삭제된 데이터(키, 값, 데이터)” 체크박스를 선택하면 분석과 복구가 함께 진행된다.

[그림 3] REGA 케이스 생성 창

(3) 레지스트리 파일 열기(복구 기능 포함)(O)을 선택하면 레지스트리 파일 하나만 선택하여 분석할 수 있다. [그림 4]와 같이 분석이 완료 되면 도구상자에서 원하는 기능을 선택하여 레지스트리 분석 결과를 확인할 수 있다.

[그림 4] REGA 레지스트리 파일 분석 과정

레지스트리 분석 결과 [그림 5]와 같이 정상 데이터와 삭제된 데이터의 레지스트리 트리를 좌측 상단에서 확인할 수 있다.

[그림 5] REGA 정상데이터와 삭제된 데이터

레지스트리 트리에서 확인하려는 레지스트리 경로를 선택 후 마우스 오른쪽 클릭으로 [그림 6]과 같이 현재 키를 북마크에 추가할 수 있고 선택키를 타임라인으로 확인할 수 있다.

[그림 6] REGA 레지스트리 트리의 북마크 및 타임라인 기능

우측의 도구상자에서 키워드 검색 기능을 사용하면, 레지스트리의 키, 값, 데이터에서 키워드 검색을 할 수 있다. [그림 7]과 같이 찾을 대상을 선택하고 검색 방법을 선택한 뒤, 검색 버튼을 누르면 해당 키워드를 통해 레지스트리를 검색할 수 있다.

[그림 7] REGA 키워드 검색 기능

우측의 도구상자에서 보고서 생성 기능을 사용하면 분석 결과를 [그림 8]과 같이 CSV형태로 보고서를 생성할 수 있다.

[그림 8] REGA 보고서 기능



도구 기능

분석 완료 후 각 창에 대한 기능은 [표 2]와 같다.

[표 2] REGA 기능
화면 설명
1-1.png
 케이스를 선택할 수 있다.
2-22.png
 SOFTWARE 레지스트리 파일을 분석하여 분석한 레지스트리를 트리구조로 확인할 수 있다.

레지스트리 트리를 통해 일반 레코드와 삭제된 레코드를 모두 확인할 수 있다.

3-1.png
 레지스트리에서 선택한 레지스트리 값을 확인할 수 있다.
4-1.png
 도구상자에 선택한 분석 결과를 출력한다.
5-1.png
 레지스트리 트리에서 보고 싶은 레지스트리들을 선택하고 타임라인 보기를 선택하면 화면 중앙에 각 레지스트리의 최종기록시간이 표시된다.
6-1.png
 레지스트리 트리에서 북마크 기능을 사용하면 화면 중앙에 북마크 탭에 해당 레지스트리가 추가된다.
7-1.png
 키워드 또는 시간 검색을 이용하면 화면 중앙에 해당 키워드 또는 시간에 대한 검색 목록이 출력 된다.
8-1.png
 분석 결과를 키워드 또는 시간으로 검색할 수 있다.
9-1.png
 SOFTWARE 레지스트리 파일을 분석하여 윈도우 설치 정보를 확인할 수 있다.
10-1.png
 SAM 레지스트리 파일을 분석하여 사용자 계정, 실행 명령, 검색 키워드 등 사용자 활동 정보를 확인할 수 있다.
11-1.png
 SYSTEM, SOFTWARE 레지스트리 파일을 분석하여 서비스, 드라이버, 자동 실행 정보를 확인할 수 있다.



제한사항

REGA는 마운트된 볼륨의 레지스트리를 수집을 못한다는 단점이 존재한다.

수사 활용 방안

수사 현장에서 레지스트리 파일의 정보를 수집 하여 분석할 경우 REGA는 레지스트리의 정보를 다른 프로그램에 비하여 빠르고 정확하게 분석할 수 있다. 모든 레지스트리 파일을 통합해서 분석할 수 있기 때문에 수사현장에서 매우 필요하다.

원본 주소 "http://forensic.korea.ac.kr/DFWIKI/index.php?title=REGA(Registry_Analyzer)&oldid=7628"