3.레지스트리 파일 조회

Edit

3.1hive-file

레지스트리 하이브 포맷 파일에서 계정 및 그룹, 보안 정책, OS 정보, USB 장치, 프로그램 사용 내역 등의 정보를 조회합니다.

문법

hive-file [zippath=ZIPFILE_PATH] FILE_PATH
zippath

ZIP 파일의 절대 경로를 입력합니다.

FILE_PATH

데이터를 읽어들일 레지스트리 파일 경로를 입력합니다. zippath 옵션을 입력한 경우, zip 파일 내의 파일 경로를 입력합니다.

표 3-1하이브 파일

파일

용도

레지스트리 경로

추출 정보

SAM

계정 및 접속 기록

HKEY_LOCAL_MACHINE\SAM

계정, 그룹

SECURITY

보안 정책 및 권한

HKEY_LOCAL_MACHINE\Security

보안 정책

SOFTWARE

설치 프로그램

HKEY_LOCAL_MACHINE\Software

OS 버전, OS 설치일, OS 설치 디렉터리, 소유자 계정

SYSTEM

시스템 설정

HKEY_LOCAL_MACHINE\System

호스트명, 시간대, 시스템 종료시각, USB 장치 등

NTUSER.DAT

사용자 설정

HKEY_USERS\.DEFAULT

열어본 파일 목록

표 3-2출력 필드

필드 이름

타입

설명

key

문자열

서브 키

type

문자열

타입

name

문자열

레지스트리 이름

value

객체

레지스트리 데이터

last_written

날짜

마지막으로 쓰여진 시간

사용 예

1) 파일 경로를 입력하여 조회

hive-file D:\testdata\registry\SYSTEM

2) zippath 옵션을 입력한 경우, 조회

hive-file zippath=D:\testdata\registry.zip registry\SYSTEM

3) 윈도우 OS 정보 확인

hive-file D:\testdata\registry\SOFTWARE
| search key=="ROOT\\Microsoft\\Windows NT\\CurrentVersion"

3.2reg-opensave-files

레지스트리에 저장된, "Windows 탐색기 공용 대화 상자를 통해 최근에 열거나 저장된 파일 정보" Web Browsers 및 Applications을 통해 열거나 저장한 파일 정보 를 조회합니다. 조회한 데이터로 사용자가 최근에 열거나 저장한 파일을 확인할 수 있습니다.

문법

reg-opensave-files [zippath=ZIPFILE_PATH] FILE_PATH
zippath

ZIP 파일의 절대 경로를 입력합니다.

FILE_PATH

데이터를 읽어들일 레지스트리 파일 경로를 입력합니다. zippath 옵션을 입력한 경우, zip 파일 내의 파일 경로를 입력합니다.

표 3-3출력 필드

필드 이름

타입

설명

file_path

문자열

파일 경로

file_ext

문자열

파일 확장자

file_size

문자열

파일 크기

access_at

날짜

접근일시

created_at

날짜

생성일시

modified_at

날짜

수정일시

mft_entry_index

바이너리

MFT 엔트리 인덱스

ntfs_seq

정수

NTFS 시퀀스

last_written

날짜

마지막으로 쓰여진 시간

order

정수

확장자별 파일 순서

사용 예

1) 파일 경로를 입력하여 조회

reg-opensave-files D:\testdata\registry\test\NTUSER.DAT

2) zippath 옵션을 입력한 경우, 조회

reg-opensave-files zippath=D:\testdata\registry.zip registry\test\NTUSER.DAT

3) 파일 확장자별 순서 정렬

reg-opensave-files D:\testdata\registry\test\NTUSER.DAT
| sort file_ext, order

3.3reg-recent-docs

레지스트리에 저장된, "사용자가 Windows 탐색기를 통해서 열거나 실행한 파일, 폴더 정보"를 조회합니다. 조회한 데이터는 사용자가 열거나 실행한 파일, 폴더 정보 및 문서, 폴더 실행 유무를 확인할 수 있습니다. 또한, 사용자의 행위 파악를 파악하는데 사용할 수 있습니다.

문법

reg-recent-docs [zippath=ZIPFILE_PATH] FILE_PATH
zippath

ZIP 파일의 절대 경로를 입력합니다.

FILE_PATH

데이터를 읽어들일 레지스트리 파일 경로를 입력합니다. zippath 옵션을 입력한 경우, zip 파일 내의 파일 경로를 입력합니다.

표 3-4출력 필드

필드 이름

타입

설명

file_name

문자열

파일 이름

file_ext

문자열

파일 확장자

last_written

날짜

마지막으로 쓰여진 시간

order

정수

확장자별 파일 순서

사용 예

1) 파일 경로를 입력하여 조회

reg-recent-docs D:\testdata\registry\test\NTUSER.DAT

2) zippath 옵션을 입력한 경우, 조회

reg-recent-docs zippath=D:\testdata\registry.zip registry\test\NTUSER.DAT

3) 파일 확장자별 순서 정렬

reg-recent-docs D:\testdata\registry\test\NTUSER.DAT
| sort file_ext, order

3.4reg-shellbags

레지스트리에 저장된, "사용자가 로컬, 네트워크 및 이동식 저장장치에서 접근한 폴더 정보"를 조회합니다. 조회한 데이터는 사용자가 특정 폴더에 접근한 시간 정보 확인, 존재하는 폴더의 삭제/덮어쓰기에 대한 증거 추적, Explorer를 통한 폴더 접근에 대한 MAC 타임 추적에 사용할 수 있습니다.

문법

reg-shellbags [zippath=ZIPFILE_PATH] FILE_PATH
zippath

ZIP 파일의 절대 경로를 입력합니다.

FILE_PATH

데이터를 읽어들일 레지스트리 파일 경로를 입력합니다. zippath 옵션을 입력한 경우, zip 파일 내의 파일 경로를 입력합니다.

표 3-5출력 필드

필드 이름

타입

설명

file_name

문자열

파일 이름

file_ext

문자열

파일 확장자

last_written

날짜

마지막으로 쓰여진 시간

order

정수

확장자별 파일 순서

사용 예

1) 파일 경로를 입력하여 조회

reg-shellbags D:\testdata\registry\test\NTUSER.DAT

2) zippath 옵션을 입력한 경우, 조회

reg-shellbags zippath=D:\testdata\registry.zip registry\test\NTUSER.DAT

3) 파일 확장자별 순서 정렬

reg-shellbags D:\testdata\registry\test\NTUSER.DAT
| sort file_ext, order

3.5reg-shim-cache

레지스트리에 저장된 "AppCompatCache" 데이터로, 모든 실행 파일의 경로, 크기, 마지막 실행시간 등의 정보를 조회합니다. 조회한 데이터는 실행 파일의 이름, 경로, 크기 정보 및 마지막 실행 시간을 확인할 수 있고, 침해사고 분석에 활용할 수 있습니다.

문법

reg-shim-cache [zippath=ZIPFILE_PATH] FILE_PATH
zippath

ZIP 파일의 절대 경로를 입력합니다.

FILE_PATH

데이터를 읽어들일 레지스트리 파일 경로를 입력합니다. zippath 옵션을 입력한 경우, zip 파일 내의 파일 경로를 입력합니다.

표 3-6출력 필드

필드 이름

타입

설명

file_path

문자열

실행 파일 경로

modified_at

날짜

수정일시

사용 예

1) 파일 경로를 입력하여 조회

reg-shim-cache D:\testdata\registry\SYSTEM

2) zippath 옵션을 입력한 경우, 조회

reg-shim-cache zippath=D:\testdata\registry.zip registry\SYSTEM

3.6reg-user-assists

레지스트리에 저장된, "최근에 실행한 프로그램 목록, 마지막 실행 시간, 실행 횟수" 등의 정보를 조회합니다. 조회한 데이터는 최근 실행한 응용프로그램 이름, 목록을 확인할 수 있고, 마지막으로 실행한 응용프로그램 시간과 실행 횟수를 분석에 활용할 수 있습니다.

문법

reg-user-assists [zippath=ZIPFILE_PATH] FILE_PATH
zippath

ZIP 파일의 절대 경로를 입력합니다.

FILE_PATH

데이터를 읽어들일 레지스트리 파일 경로를 입력합니다. zippath 옵션을 입력한 경우, zip 파일 내의 파일 경로를 입력합니다.

표 3-7출력 필드

필드 이름

타입

설명

key

문자열

실행 파일 경로

session_num

정수

세션 번호

exec_count

정수

실행 횟수

focus_time

정수

활성화된 시간

last_execution

날짜

마지막으로 실행된 시간

last_written

날짜

마지막으로 쓰여진 시간

사용 예

1) 파일 경로를 입력하여 조회

reg-user-assists D:\testdata\registry\test\NTUSER.DAT

2) zippath 옵션을 입력한 경우, 조회

reg-user-assists zippath=D:\testdata\registry.zip registry\test\NTUSER.DAT
Count of comments [0]