인프런 커뮤니티 질문&답변

정지헌님의 프로필 이미지
정지헌

작성한 질문수

기초부터 따라하는 디지털포렌식

Windows Registry 실습 (1)

Windows Registry 실습과정에서 질문있습니다.

해결된 질문

작성

·

495

2

Windows Registry 실습과정(1)에서 진행하는 REGA도구를 사용하는 방식이 REGA도구내의 레지스트리 파일수집기능을 통해서 파일을 수집하고 분석한다고 하셨습니다. 수집하는과정에서 로그 파일은 수집하지 않아서 분석할 때 정확성이 떨어지는거같은데 그러면 ftk imager을 통해서 추출한 raw파일(여기는 로그파일이 같이 있으니까)을 분석할때 사용해도 괜찮을까요??

강의하시느라 고생많으십니다! 열심히 하겠습니다

windowsregistryForensic

답변 1

1

훈지손님의 프로필 이미지
훈지손
지식공유자

안녕하세요! 강의를 열심히 듣고 계시네요 ㅎㅎ 아주 멋지십니다

질문 주신 내용에 대해서 답변하자면, LOG1과 LOG2 파일을 같이 분석해주어야 정확한 분석이 가능합니다. 그 이유는 컴퓨터가 레지스트리에 바로 데이터를 쓰는 것이 아니라, LOG1과 LOG2 파일에 먼저 쓰기 한 후에, 레지스트리 파일로 옮기기 때문인 것으로 알고 있습니다.

Registry Explorer라는 도구를 이용하면 레지스트리 파일에 LOG1과 LOG2 파일의 내용을 덮어써줄 수 있습니다. 도구를 다운로드한 후에, replay transaction logs 기능을 활용하시면 LOG1, LOG2의 내용이 반영된 레지스트리를 얻으실 수 있으실 것입니다. 이렇게 처리한 레지스트리를 REGA를 이용해서 분석하게 되면 말씀하신 대로 정확한 분석이 가능해집니다.

앞으로도 열심히 들어주시기 바랍니다. 감사합니다!

정지헌님의 프로필 이미지
정지헌

작성한 질문수

전체 Q&A
질문하기