[XWF] X-ways로 레지스트리 분석하기

안녕하세요. 도깬리 포렌식스 입니다.

2022년 마지막 날 입니다. 올 한해도 정말 수고 많으셨습니다. 도깬리도 쉬지 않고 달려 왔네요. 애독자 님들의 성원에 감사드립니다. 오늘은 XWF로 레지스트리를 분석하는 방법을 설명합니다. 모두 화이팅하세요.

 

X-Ways Forensics 레지스트리 분석하기

레지스트리

윈도우에서 ‘하이브’라고 불리는 파일에 각종 설정과 옵션값을 저장하고 있는 일종의 데이터베이스입니다.

레지스트리 분석을 위해서는 우선 필터를 사용하여 레지스트리 하이브만을 모아야 합니다.

Type 컬럼 또는 Category 컬럼을 이용하여 레지스트리만을 필터링 합니다.

 

XWF Registry Viewer

레지스트리 하이브를 더블 클릭하면 자동으로 Registry Viewer가 실행됩니다.

최대 64개의 하이브를 동시에 열어 볼 수 있습니다.

Registry Viewer에서는 정상 키 외에도 삭제된 키나 손상되거나 불완전한 하이브도 보여줍니다.

‘Path unknown’ 아래의 키는 ‘가상 키’로써, 키에 대한 완전한 경로를 알 수 없는 것들입니다.

 

USB 저장매체의 연결 흔적 보기

레지스트리 하이브를 열면 XWF는 File 모드로 자동 전환합니다.

Registry Viewer에서 어떤 값을 클릭하면, XWF의 File pane에서 해당되는 원래의 값과 자동으로 연동되게 합니다.

하이브 트리에서 키를 선택하면 마지막으로 수정된 날짜를 하이브창 하단에 표시합니다.

 

 

내보내기

하이브의 전체 내용을 별도의 파일로 내보내기하여 엑셀 등으로 분석할 수 있습니다.

컨텍스트 메뉴의 [Export list]를 선택합니다.

 

XWF Registry Report

연관성 있는 레지스트리 키를 자동으로 목록화한 HTML 파일입니다.

컨텍스트 메뉴의 [Create Registry Report]를 실행합니다.

자동 보고서를 생성할 때, 아래의 ‘보고서 정의 파일(Reg Report 파일)’중 어느 하나를 선택하여 자동 보고서에 어떤 내용을 포함시킬지를 결정합니다.

- Reg Report Autorun.txt

- Reg Report Devices.txt

- Reg Report Free Space.txt

- Reg Report Histories.txt

- Reg Report Identity.txt

- Reg Report Networks.txt

- Reg Report Printer.txt

- Reg Report Software.txt

- Reg Report System.txt

 

 

보고서 정의 파일(Reg Report 파일)

XWF가 하이브에 있는 데이터를 보기 쉬운 형식으로 변환할 때 사용할 정보가 저장되어 있는 텍스트 파일입니다.

보고서를 생성하면 자동으로 웹문서가 만들어 집니다.

여러 개의 Reg Report ****.txt 파일을 선택한 경우에는 보고서 최상단에 각 레지스트리 보고서 섹션에 대한 링크가 표시됩니다.

 

색깔에 따른 구분

회색 날짜 표시 : 키가 수정된 날짜를 의미합니다.(값이 수정된 것이 아님)

적색 표시 : 값이 삭제된 것을 의미합니다. Reg Report Free Space.txt를 선택한 경우 나타납니다.

초록색 표시 : 레지스트리값 슬랙에 텍스트 문자일이 포함되어 있는 경우입니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : X-ways Forensics Practitioner's Guide