DF_m@ster

Registry Analysis디스크 분석 과정에서 레지스트리 분석은 다양한 시스템 정보, 사용자 정보, 프로그램 정보, 네트워크 정보들을 확인할 수 있기 때문에 중요한 과정으로 여겨진다. 본글의 내용은 그중 프로그램 정보, MRU 정보, 네트워크 정보 확인 방법을 정리하여 실습한 글이다.   Program Information1. 설치된 응용프로그램 정보경로: '도구 상자'의 '설치된 응용 프로그램' 항목 선택확인 가능한 정보: 설치된 응용 프로그램 정보(Chrome, Microsoft Edge 확인 가능)   2. 설치된 프로그램 목록 정보경로: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall확인 가능 정보: 응용 프로그램의 SID, 프로그램의 이..

Registry Analysis디스크 분석 과정에서 레지스트리 분석은 다양한 시스템 정보, 사용자 정보, 프로그램 정보, 네트워크 정보들을 확인할 수 있기 때문에 중요한 과정으로 여겨진다. 본글의 내용은 그중 시스템 정보, 사용자 정보 확인 방법을 정리하여 실습한 글이다.   System Information1. 윈도우 설치 정보'도구 상자'의 '윈도우 설치 정보' 항목을 선택하면 윈도우 설치 관련 정보를 확인할 수 있다.확인 가능한 정보: 운영체제 이름(Product Name), 사용자 이름(Owner), 운영체제 식별자 ID(Product ID), 운영체제 세부 버전(Product Version), 조직 이름(Organization), 운영체제 설치 날짜(Install Date), 운영체제 설치 루트..

Registry, Hive File디스크 분석 과정에서 레지스트리 분석은 사용자가 시스템에서 어떤 활동을 했는지 매우 다양한 정보를 확인할 수 있기 때문에 중요한 과정으로 여겨진다. Registry는 사용자의 행동과 사용자 정보를 저장하는 계층형 데이터 베이스이다. Registry는 Hive File로 관리된다. Hive File은 레지스트리 데이터 베이스 정보(키 값)들을 논리적인 구조로 저장하는 파일이다.   Extract Hive File레지스트리 분석을 수행할 때, 대상 디스크가 이미지 파일인 경우 이를 '비활성화 상태'로 지칭하며, 분석을 시작하기 전에 먼저 하이브 파일을 추출하는 과정이 필요하다. 이러한 이유로 디스크 이미지파일에서 하이브 파일을 추출 할 줄 알아야한다. REGA에서 하이브 파..