reg-item-id-list
레지스트리 데이터에 포함된 ITEMIDLIST 형식의 바이너리 필드를 파싱하여 파일 시스템 경로 정보를 추출합니다. 셸백(ShellBag) 등 레지스트리 아티팩트에서 탐색된 폴더 경로를 복원할 때 활용합니다.
명령어 속성
| 항목 | 설명 |
|---|---|
| 명령어 유형 | 가공 쿼리 |
| 필요 권한 | 없음 |
| 라이선스 사용량 | 라이선스 집계와 무관한 명령어 |
| 병렬 실행 | 지원 |
| 분산 실행 | 분석 노드에서 실행 (reducer) |
문법
reg-item-id-list field=FIELD_NAME
옵션
field=FIELD_NAME- ITEMIDLIST 바이너리 데이터를 포함하는 필드 이름. 필수 옵션입니다.
출력 필드
입력 레코드의 모든 필드에 ITEMIDLIST 파싱 결과 필드가 추가됩니다. 파싱 결과 필드는 ITEMIDLIST 항목의 종류에 따라 다르며, 파일 또는 폴더 경로 정보를 포함합니다.
지정한 필드의 값이 바이너리 타입이 아닌 경우 해당 레코드는 변경 없이 그대로 출력합니다.
오류 코드
파싱 오류
| 오류 코드 | 메시지 | 설명 |
|---|---|---|
| - | field option is missing | field 옵션을 지정하지 않은 경우 |
런타임 오류
해당 사항 없음
설명
reg-item-id-list 명령어는 입력 레코드의 지정된 필드에서 ITEMIDLIST 바이너리 데이터를 파싱하여 파일 시스템 경로 구성 요소를 추출합니다. ITEMIDLIST는 Windows 셸이 파일 및 폴더 경로를 표현하는 데 사용하는 데이터 구조입니다.
reg-shellbags 명령어와 함께 사용하면 레지스트리 셸백 항목에서 탐색한 폴더 경로를 복원할 수 있습니다.
사용 예
-
셸백 레지스트리에서 폴더 경로 복원
reg-shellbags /opt/logpresso/evidence/USRCLASS.DAT | reg-item-id-list field=item_id_list셸백 레지스트리 데이터에서 ITEMIDLIST를 파싱하여 탐색한 폴더 경로 정보를 복원합니다.
호환성
reg-item-id-list 명령어는 소나 4.0 이전 버전부터 제공되었습니다.