Registry Workshop
소개[편집]
Registry Workshop 은 TorchSoft 에서 개발한 레지스트리 분석 도구로 상용도구이다. 마지막 업데이트는 2014년 8월 22일이며, 최신 버전은 v2.0.0.0530버전이다. Registry Workshop은 GUI기반으로 Windows운영체제에서 사용 가능하다. 기본 Window 창에서 실행할 수 있지만 Command 명령어를 이용해서도 실행이 가능하다. Registry Workshop은 [표 1]과 같은 파일을 입력받아 레지스트리를 분석한다. Registry Workshop는 레지스트리 파일을 간편하게 편집하고 백업할 수 있는 기능을 제공한다.
| 번호 | 입력 파일 |
|---|---|
| 1 | 하이브파일 |
| 2 | .reg 파일 |
| 3 | 라이브시스템 |
사용법[편집]
Registry Workshop은 GUI이지만 “RegWorkshop.exe [options] [filename] [regpath]” 와 같은 Command 명령어로도 실행할 수 있다. Command 명령어에 관한 설명은 [표 2]와 같다.
| 명령어 | 설명 |
|---|---|
| [filename] | Open the registry file in Registry Workshop. |
| /g [regpath] | Open Registry Workshop and jump to [regpath]. |
| /f [string] | Open Registry Workshop and search the entire registry for [string] with default search parameters. |
| /s [filename] | Import the registry file without any confirmation. |
| /e [filename] [regpath] | Export the registry to [filename] starting at [regpath].
Example: RegWorkshop /e c:\temp.reg "HKEY_CURRENT_USER\Control Panel" |
| /a [filename] [regpath] | Same as /e but always generate version 4 registry files. |
| /n [computer name or IP address] | Connect network registry. |
Window창에서 프로그램을 실행할 경우 기본적으로 현재 라이브 시스템의 레지스트리 정보를 볼 수 있다. 상단의 메뉴바에서 파일 메뉴를 선택하면 [그림 2]와 같은 화면이 열리고 기능에 관한 설명은 [표 3]과 같다.
| 번호 | 기능 |
|---|---|
| 1 | *.reg 파일을 새로 생성, 열기, 저장할 수 있다. Save Current List 선택 시 현재의 리스트를 CSV 파일 형식으로 출력한다. |
| 2 | 현재 작업중인 HKEY_LOCAL_MACHINE와 HKEY_USERS을 스냅샷 찍어 새로운 reg파일을 생성한다. |
| 3 | 원격 컴퓨터의 레지스트리 파일을 작업할 수 있다. 단, Administrator으로 로그인 또는 분석할 컴퓨터가 Administrator 그룹에 있어야 한다. 모바일 장치 레지스트리 연결을 위해선 ActiveSync가 필요하다. |
| 4 | 현재의 작업중인 레지스트리에 *.reg파일을 불러와 추가하거나 현재 레지스트리에서 추출 해 *.reg로 저장할 수 있다. |
| 5 | Hive 파일을 불러와 작업중인 레지스트리의 HKEY_LOCAL_MACHINE와 HKEY_USERS에 추가할 수 있다. |
| 6 | 현재 작업중인 레지스트리 파일을 백업하고 백업한 파일로 다시 복원할 수 있다. |
| 7 | 레지스트리 파일을 조각모음해서 크기를 최소화, 최적화 시킨다. |
| 8 | 최근 작업한 파일을 볼 수 있다. |
| 9 | 작업을 멈추고 프로그램을 종료한다. |
상단의 메뉴바에서 편집 메뉴를 선택하면 [그림 3]과 같은 화면이 열리고 기능에 관한 설명은 [표 4]와 같다.
| 번호 | 기능 |
|---|---|
| 1 | 작업 중인 레지스트리 값을 되돌리기, 다시 실행, 수정, 이진 값 수정할 수 있다. |
| 2 | 새로운 키를 생성하고 값을 만들 수 있다. 선택한 키를 자르기, 복사, 붙여넣기, 삭제, 이름변경을 할 수 있다. |
| 3 | 선택한 키를 사용권한, 읽기전용을 변경할 수 있고 파일 설명을 추가할 수 있다. |
| 4 | 현재 작업 위치의 모든 레지스트리를 선택하거나 반전시킬 수 있다. |
| 5 | 선택한 위치의 경로, 하위키, 값, 마지막 수정 시간을 볼 수 있다. |
상단의 메뉴바에서 보기 메뉴를 선택하여 현재 작업창을 변경할 수 있고 검색 메뉴를 선택하여 레지스트리 값을 검색할 수 있다. 도구 메뉴의 레지스트리 비교 기능을 통해 다른 레지스트리 파일과 차이점을 확인할 수 있다. 이 밖에 북마크, 즐겨찾기, 검색 기능을 제공한다.
도구 기능[편집]
Registry Workshop를 이용해 라이브 시스템의 레지스트리와 다른 *.reg 파일을 분석, 수정할 수 있다. 하지만 log파일을 불러오기 위해선 HIVE 불러오기 기능을 현재 라이브 시스템에 추가시켜야하기 때문에 현재의 시스템이 변경될 수 있다. 하지만 한글을 지원하고 백업, 스냅샷, 비교 기능을 제공하여 쉽게 레지스트리를 분석하고 수정할 수 있다.
또한 원격에 접속한 컴퓨터의 레지스트리를 작업할 수 있고 모바일에 동기화 한 레지스트리 파일을 분석할 수 있다.
다른 레지스트리 파일을 현재의 라이브시스템에 추가하거나 파일로 추출하여 저장할 수 있고 레지스트리 최적화 기능을 이용해 조각모음하여 최적화하는 기능을 제공한다.
제한 사항[편집]
현재 라이브 시스템, 원격 컴퓨터의 레지스트리 파일을 기존의 RegEdit.exe에서 할 수 없었던 시간 정보, 검색, 즐겨찾기, 비교, 삽입, 추출, 백업, 스냅샷 기능을 이용해 쉽게 분석할 수 있으나 로그파일을 분석하기 위해선 현재의 시스템이 변경되는 치명적인 단점이 존재한다.
수사 활용 방안[편집]
수사 현장에서 레지스트리 파일의 정보를 수집 하여 분석할 경우 Registry Workshop은 Windows OS에서 제공하는 RegEdit.exe보다 효과적으로 레지스트리의 정보를 분석할 수 있다. 하지만 기능이 현재 시스템의 레지스트리 파일을 작업하는데 편향되어 있어 분석에서 사용하기엔 힘들 것으로 생각한다.
