hive-file
윈도우 레지스트리 하이브(Registry Hive) 파일을 파싱하여 레지스트리 키와 값을 조회합니다. SAM, SECURITY, SOFTWARE, SYSTEM, NTUSER.DAT 등의 하이브 파일을 분석할 수 있습니다.
명령어 속성
| 항목 | 설명 |
|---|---|
| 명령어 유형 | 드라이버 쿼리 |
| 필요 권한 | 클러스터 관리자 |
| 라이선스 사용량 | 집계함 |
| 병렬 실행 | 미지원 |
| 분산 실행 | 수집 노드에서 실행 (mapper) |
문법
옵션
zippath=STR- 하이브 파일이 포함된 ZIP 파일의 경로. ZIP 파일 내부의 하이브 파일을 직접 조회할 때 사용합니다.
zipcharset=STR- ZIP 파일 엔트리의 문자 집합 (기본값:
utf-8) raw=BOOLt로 설정하면raw_value필드를 출력에 포함합니다. 레지스트리 값의 원시 바이트 데이터를 확인할 때 사용합니다. (기본값:f)
대상
FILE_PATH- 조회할 레지스트리 하이브 파일의 경로. 와일드카드(
*)를 사용하여 여러 파일을 지정할 수 있습니다.
출력 필드
| 필드 | 타입 | 설명 |
|---|---|---|
_file | 문자열 | 하이브 파일 이름 |
key | 문자열 | 레지스트리 키 경로 (예: ROOT\Microsoft\Windows\CurrentVersion) |
type | 문자열 | 레지스트리 값의 데이터 타입. NONE, SZ, EXPAND_SZ, BINARY, DWORD, DWORD_BE, LINK, MULTI_SZ, RESOURCE_LIST, FULL_RESOURCE_DESCRIPTOR, RESOURCE_REQUIREMENTS_LIST, QWORD 중 하나 |
name | 문자열 | 레지스트리 값 이름. 키의 기본 값인 경우 null |
value | - | 레지스트리 값. 데이터 타입에 따라 문자열, 32비트 정수, 64비트 정수, 배열, 바이너리 등으로 반환됩니다. |
last_written | 날짜 | 레지스트리 키의 마지막 쓰기 시각 |
raw_value | 바이너리 | 레지스트리 값의 원시 바이트 데이터. raw=t 옵션을 지정한 경우에만 포함됩니다. |
오류 코드
파싱 오류
해당 사항 없음
런타임 오류
| 오류 코드 | 메시지 | 설명 | 후처리 동작 |
|---|---|---|---|
| - | cannot load hive file | 하이브 파일을 읽을 수 없는 경우 | 쿼리 실행을 중단함 |
설명
hive-file 명령어는 윈도우 레지스트리 하이브 파일의 바이너리 구조(REGF 형식)를 파싱하여 모든 키와 값을 조회합니다. 각 레지스트리 키 아래의 값 항목을 레코드로 출력하며, 키 경로는 루트부터 전체 경로를 포함합니다.
레지스트리 값의 데이터 타입에 따라 자동으로 변환합니다. SZ와 EXPAND_SZ 타입은 문자열로, DWORD 타입은 32비트 정수로, QWORD 타입은 64비트 정수로, MULTI_SZ 타입은 문자열 배열로 변환합니다. BINARY 등 기타 타입은 원시 바이트 배열로 반환합니다.
raw=t 옵션을 지정하면 변환된 값 외에 원시 바이트 데이터를 raw_value 필드에 함께 출력합니다.
ZIP 파일 내부의 하이브 파일을 조회하려면 zippath 옵션에 ZIP 파일 경로를 지정하고 대상에 ZIP 내부의 하이브 파일 경로를 지정합니다.
이 명령어는 4.0.2511.0 버전부터 클러스터 관리자 권한이 필요하며, 접근 가능한 파일 경로가 제한됩니다. 자세한 내용은 파일 접근 제한을 참고하세요.
사용 예
각 사용 예의 파일 경로는 ALLOWED_FILE_SCAN_PATHS 설정에 포함되어 있다고 가정합니다.
-
레지스트리 하이브 파일 조회
hive-file /opt/logpresso/evidence/SYSTEMSYSTEM 하이브 파일에서 모든 레지스트리 키와 값을 조회합니다.
-
원시 바이트 데이터 포함 조회
hive-file raw=t /opt/logpresso/evidence/SOFTWARESOFTWARE 하이브 파일에서 레지스트리 키와 값을 조회하고, 원시 바이트 데이터를 함께 출력합니다.
-
ZIP 파일 내부의 하이브 파일 조회
hive-file zippath=/opt/logpresso/evidence/registry.zip NTUSER.DATZIP 파일 내부의
NTUSER.DAT하이브 파일에서 레지스트리 키와 값을 조회합니다. -
특정 레지스트리 키 필터링
hive-file /opt/logpresso/evidence/SOFTWARE | search key == "ROOT\\Microsoft\\Windows\\CurrentVersion\\Run*"SOFTWARE 하이브 파일에서 자동 실행 관련 레지스트리 키를 필터링합니다.
호환성
hive-file 명령어는 소나 4.0 이전 버전부터 제공되었습니다. 4.0.2511.0 버전부터 클러스터 관리자 권한이 필요합니다.