Registry Workshop
소개
Registry Workshop 은 TorchSoft 에서 개발한 레지스트리 분석 도구로 상용도구이다. 마지막 업데이트는 2014년 8월 22일이며, 최신 버전은 v2.0.0.0530버전이다. Registry Workshop은 GUI기반으로 Windows운영체제에서 사용 가능하다. 기본 Window 창에서 실행할 수 있지만 Command 명령어를 이용해서도 실행이 가능하다. Registry Workshop은 [표 1]과 같은 파일을 입력받아 레지스트리를 분석한다. Registry Workshop는 레지스트리 파일을 간편하게 편집하고 백업할 수 있는 기능을 제공한다.
| 번호 | 입력 파일 |
|---|---|
| 1 | 하이브파일 |
| 2 | .reg 파일 |
| 3 | 라이브시스템 |
사용법
Registry Workshop은 GUI이지만 “RegWorkshop.exe [options] [filename] [regpath]” 와 같은 Command 명령어로도 실행할 수 있다. Command 명령어에 관한 설명은 [표 2]와 같다.
| 명령어 | 설명 |
|---|---|
| [filename] | Open the registry file in Registry Workshop. |
| /g [regpath] | Open Registry Workshop and jump to [regpath]. |
| /f [string] | Open Registry Workshop and search the entire registry for [string] with default search parameters. |
| /s [filename] | Import the registry file without any confirmation. |
| /e [filename] [regpath] | Export the registry to [filename] starting at [regpath].
Example: RegWorkshop /e c:\temp.reg "HKEY_CURRENT_USER\Control Panel" |
| /a [filename] [regpath] | Same as /e but always generate version 4 registry files. |
| /n [computer name or IP address] | Connect network registry. |
Window창에서 프로그램을 실행할 경우 기본적으로 현재 라이브 시스템의 레지스트리 정보를 볼 수 있다. 상단의 메뉴바에서 파일 메뉴를 선택하면 [그림 2]와 같은 화면이 열리고 기능에 관한 설명은 [표 3]과 같다.
| 번호 | 기능 |
|---|---|
| 1 | *.reg 파일을 새로 생성, 열기, 저장할 수 있다. Save Current List 선택 시 현재의 리스트를 CSV 파일 형식으로 출력한다. |
| 2 | 현재 작업중인 HKEY_LOCAL_MACHINE와 HKEY_USERS을 스냅샷 찍어 새로운 reg파일을 생성한다. |
| 3 | 원격 컴퓨터의 레지스트리 파일을 작업할 수 있다. 단, Administrator으로 로그인 또는 분석할 컴퓨터가 Administrator 그룹에 있어야 한다. 모바일 장치 레지스트리 연결을 위해선 ActiveSync가 필요하다. |
| 4 | 현재의 작업중인 레지스트리에 *.reg파일을 불러와 추가하거나 현재 레지스트리에서 추출 해 *.reg로 저장할 수 있다. |
| 5 | Hive 파일을 불러와 작업중인 레지스트리의 HKEY_LOCAL_MACHINE와 HKEY_USERS에 추가할 수 있다. |
| 6 | 현재 작업중인 레지스트리 파일을 백업하고 백업한 파일로 다시 복원할 수 있다. |
| 7 | 레지스트리 파일을 조각모음해서 크기를 최소화, 최적화 시킨다. |
| 8 | 최근 작업한 파일을 볼 수 있다. |
| 9 | 작업을 멈추고 프로그램을 종료한다. |
상단의 메뉴바에서 편집 메뉴를 선택하면 [그림 3]과 같은 화면이 열리고 기능에 관한 설명은 [표 4]와 같다.
| 번호 | 기능 |
|---|---|
| 1 | 작업 중인 레지스트리 값을 되돌리기, 다시 실행, 수정, 이진 값 수정할 수 있다. |
| 2 | 새로운 키를 생성하고 값을 만들 수 있다. 선택한 키를 자르기, 복사, 붙여넣기, 삭제, 이름변경을 할 수 있다. |
| 3 | 선택한 키를 사용권한, 읽기전용을 변경할 수 있고 파일 설명을 추가할 수 있다. |
| 4 | 현재 작업 위치의 모든 레지스트리를 선택하거나 반전시킬 수 있다. |
| 5 | 선택한 위치의 경로, 하위키, 값, 마지막 수정 시간을 볼 수 있다. |
상단의 메뉴바에서 보기 메뉴를 선택하여 현재 작업창을 변경할 수 있고 검색 메뉴를 선택하여 레지스트리 값을 검색할 수 있다. 도구 메뉴의 레지스트리 비교 기능을 통해 다른 레지스트리 파일과 차이점을 확인할 수 있다. 이 밖에 북마크, 즐겨찾기, 검색 기능을 제공한다.
도구 기능
Registry Workshop를 이용해 라이브 시스템의 레지스트리와 다른 *.reg 파일을 분석, 수정할 수 있다. 하지만 log파일을 불러오기 위해선 HIVE 불러오기 기능을 현재 라이브 시스템에 추가시켜야하기 때문에 현재의 시스템이 변경될 수 있다. 하지만 한글을 지원하고 백업, 스냅샷, 비교 기능을 제공하여 쉽게 레지스트리를 분석하고 수정할 수 있다.
또한 원격에 접속한 컴퓨터의 레지스트리를 작업할 수 있고 모바일에 동기화 한 레지스트리 파일을 분석할 수 있다.
다른 레지스트리 파일을 현재의 라이브시스템에 추가하거나 파일로 추출하여 저장할 수 있고 레지스트리 최적화 기능을 이용해 조각모음하여 최적화하는 기능을 제공한다.
제한 사항
현재 라이브 시스템, 원격 컴퓨터의 레지스트리 파일을 기존의 RegEdit.exe에서 할 수 없었던 시간 정보, 검색, 즐겨찾기, 비교, 삽입, 추출, 백업, 스냅샷 기능을 이용해 쉽게 분석할 수 있으나 로그파일을 분석하기 위해선 현재의 시스템이 변경되는 치명적인 단점이 존재한다.
수사 활용 방안
수사 현장에서 레지스트리 파일의 정보를 수집 하여 분석할 경우 Registry Workshop은 Windows OS에서 제공하는 RegEdit.exe보다 효과적으로 레지스트리의 정보를 분석할 수 있다. 하지만 기능이 현재 시스템의 레지스트리 파일을 작업하는데 편향되어 있어 분석에서 사용하기엔 힘들 것으로 생각한다.
