Registry

1. 개요

레지스트리(Registry)는 Windows의 시스템과 운영 프로그램의 정보 등을 저장하고 있는 계층적 구조의 데이터베이스이다. 레지스트리 내부에는 사용자 설정, 설치된 프로그램, 연결된 하드웨어, 시스템 정책 등 시스템 설정과 다양한 설정 정보가 포함되어 있으며, 많은 정보가 저장된 만큼 포렌식 과정에서 얻고자 하는 정보들도 많이 들어있다. 레지스트리 개념은 Windows 3.1 때부터 등장했으며, 초기에는 .ini 파일처럼 단순한 구조의 개념이었다. 초기의 레지스트리는 각 프로그램 별 .ini 파일이 분산되어 있어 관리가 어렵다는 단점이 존재했다. 이를 보완하기 위해 계층적 구조의 데이터베이스, 현재의 레지스트리(Registry)라는 개념이 등장하게 되었다.

디지털포렌식 및 침해사고 대응에서의 중요성

레지스트리에는 하드웨어, 소프트웨어, 사용자 설정 등에 대한 Windows의 모든 정보가 기록되기 때문에 다음과 같은 이유로 디지털 포렌식 분석에서 중요한 역할을 한다.

1. 사용자 활동 추적

   • 레지스트리는 사용자의 프로그램 실행 기록, 파일 접근, 시스템 로그인 시간 등의 정보를 기록하므로 사용자 행동 패턴이나 시스템에서의 활동을 상세하게 추적할 수 있다. 이를 통해 사건과 관련된 특정 행동이나 접근을 식별하는 데 중요한 역할을 한다.

2. 비정상적인 활동 탐지

   • 악성 코드의 악성 행위나 다른 컴퓨터로의 원격 접속 등의 비정상적인 활동도 모두 시스템 내에서 일어난 일이기 때문에 레지스트리 내에 모두 기록된다. 이를 이용해 시스템 내에서 발생한 비정상적인 활동이나 사용자의 비정상적인 활동을 식별할 수 있다.

3. 증거 확보

   • 레지스트리는 사용자의 프로필과 같은 설정 관련 정보들부터 외부저장매체 연결 흔적과 같은 행위 관련 정보들까지 모두 기록하고 접근성이 쉬우므로 모든 내용에 대한 상세 확인이 용이하다. 이러한 점을 토대로 레지스트리는 수사에서 중요한 증거로 사용될 수 있다.

버전 별 저장 경로

레지스트리는 Windows XP 버전 이후부터 %SystemRoot%\\System32\\Config 폴더 내에 이진 파일 형태로 저장된다. 이전 버전에서는 좀 더 단순한 구조로 저장되었으며, Windows XP 이후 부터는 이전 보다는 복잡한 구조로 이루어져 있다. Windows XP 이후 부터는 5개의 SAM, SECURITY, SOFTWARE, SYSTEM, NTUSER.DAT 파일이 기본 구조로 저장되고, 각 정보들은 해당하는 하이브 파일에 키(key) - 값(values) 구조로 저장된다. 이후 버전들도 기본 구조에서 조금씩 더 값들을 세분화하는 등의 업데이트만 이루어지고 앞서 말한 기본 구조는 그대로 유지한다.

---

2. 구조

전반적인 구조

레지스트리는 키(key) - 값(values) 구조로 구성되어 있으며, 각 키는 루트키, 서브키, 키로 분류된다. 이때 서브키부터 그 하위 키까지 어우르는 트리 구조를 하이브(hive)라고 한다.

앞서 말했다시피, 레지스트리는 키(key) - 값(values) 구조로 이루어져 있으므로, 폴더처럼 구성되어 있는 키 내부에는 각 키에 해당하는 데이터들이 저장되어 있는 것을 확인할 수 있다.

레지스트리에는 여러가지 데이터 타입이 존재하는데, 관련 내용은 아래 표와 같다.

루트키 및 서브키

루트키는 HKCR, HKCU, HKLM, HKU, HKCC로 총 5개로 구성되어 있다. 5개의 루트키 중 HKLM과 HKU는 Master Key로 각 하이브 파일을 읽어 독자적인 값들을 가지고 있는 키이다. 이외의 키들은 Derived Key로 Master Key의 심볼릭 링크 값들을 가지고 있는 키이다. 그러다보니 HKLM과 HKU만 파일로 존재하고, 나머지 루트키는 파일로 존재하지 않고 메모리 상에만 존재한다. 또한 나머지 루트키는 시스템 전원 상태에 따라 유지되거나 재구성된다.

📌 각 루트키 별 설명

1) HKEY_CALSSES_ROOT

• HKLM\\SOFTWARE\\Classes와 HKU\\<SID>\\Classes의 집합

  • 자신만의 서브키가 없고 HKLM과 HKU 의 Classes 서브키를 가져와 자신의 서브키로 만듦

  • 대부분의 서브키는 HKLM의 심볼릭 링크 서브키

• 파일 확장자와 응용 프로그램의 맵핑 정보 저장 → 특정 서브키에 대한 프로그램 맵핑 데이터 저장

• 실제로 (기본값)에서 확인할 수 있는 프로그램의 서브키를 보면 전체 경로와 명령어 옵션을 확인할 수 있음

  • 명령어 옵션은 Shell 키의 Open\Command 키에서 확인 가능

  

  

2) HKEY_CURRENT_USER

• HKU 하위의 유저 중 현재 로그인한 유저의 정보를 서브키로 가짐

  • HKU 루트키에서 가져온 것들

• 현재 로그인한 사용자의 정보를 서브키로 가지고 있음 → 현 사용자의 SID 확인 가능

• HKCU 서브키 종류

• HKCU 서브키 중 HKCU\software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist 아래에 있는 서브키들은 값을 ROT-13 방식으로 저장

  • 레지스트리 중 유일하게 ROT-13 방식으로 저장

  

3) HKEY_LOCAL_MACHINE

• 하드 디스크에 있는 하이브 파일들과 메모리에 있는 하이브 모음(= 대부분 응용 프로그램 관련)

  • 자체 하이브를 가지고 있음

  • 일부 하이브는 시스템 계정으로만 접근 가능 (관리자 계정으로도 접근 불가)

• 시스템 하드웨어, 소프트웨어 드라이버의 환경 설정 정보를 가지고 있음

• HKLM 하이브 목록

• HKLM\SYSTEM 하위에 ControlSet : 시스템 환경 설정 정보를 담고 있는 키, 보통 2개 이상 존재

  • HKLM\SYSTEM\Select 경로에 Current 값의 데이터가 1이면 ControlSet001로 부팅되었다는 의미

  

4) HKEY_USER

• NTUSER.DAT 파일의 집합

• 시스템의 모든 계정 정보를 담고 있음

  • 루트키와 각 서브키의 계정 프로파일이 있다는 것을 제외하면 HKU 서브키들은 HKCU 서브키와 동일

• HKU 하이브 목록

5) HKEY_CURRENT_CONFIG

• HKLM\\CurrentControlSet\\Hardware Profiles\\Current에서 부팅 시 사용한 하드웨어 프로파일의 집합

• 시스템이 시작할 때 사용되는 하드웨어 프로파일을 저장

---

하이브

하이브 파일에서 사용되는 단위는 Block와 Hive Bin이 있다. 두 단위 다 논리적 단위이지만 Block은 메모리 상에서, Hive Bin은 파일 단에서 사용되는 단위이다. 상세 개념은 아래 내용과 같다.

📌 Block과 Hive Bin의 개념

1) Block

• 하이브의 논리적 단위 (파일시스템 내 클러스터와 비슷한 개념)

• 크기 : 4KB

• 파일 크기 증가 기준이 논리적 바이트이기 때문에 파일의 물리적 크기가 항상 4 byte씩 증가

  • cf. 파일시스템의 경우 클러스터가 4KB일 경우, 모든 파일의 물리적 크기가 4KB씩 증가 / 클러스터가 1bit일 경우, 모든 파일의 물리적 크기가 1bit씩 증가

2) Hive Bin

• 하이브 파일 내부에 생성되는 논리적 단위

• Block 크기(4KB)랑 Hive Bin(4KB)의 크기가 동일

• 다음 Hive Bin까지 상대적 거리를 저장함

  • Windows는 레지스트리를 읽을 때 Hive Bin을 기본 단위로 삼음

• 첫번째 Root Cell 위치 전 = 0x1000 ~ 0x1020

Hive Bin 구조

3) Block vs Hive Bin

---

하이브 파일 구조는 크게 하이브 헤더(Base Block이라고도 불림)와 데이터 영역으로 구성되어 있으며, 데이터 영역 안에 있는 Hive Bin안에 여러 Cell들이 구성되어 있는 구조이다. 상세 내용은 다음과 같다.

하이브 파일 구조

1) Base Block

• 하이브 파일의 첫번째 블록 (하이브 파일의 헤더 역할)

• 시그니처가 다르기 때문에 Hive Bin 이라 부르지 않고, Base Block라고 불림

📌 Base Block 시그니처(regf) vs Hive Bin 시그니처(hbin)

Base Block 구조

• Base Block 구조 중 상세 내용

  • Sequence Number

    • 하이브 파일이 정상적으로 저장되고 닫히면 #1과 #2의 값은 동일함

      • But, 시스템 충돌이나 비정상적인 종료, 하이브 파일 손상이 발생하면 #1과 #2 값은 동일하지 않음

    📌 Sequence Number가 1 byte만 다른 경우

    

    ➡️ 특정 쓰기 작업 도중 파일이 손상되었거나 중단되었음을 나타냄

  • Start of Root Cell

    • Start of Root Cell + 0x1000 = 첫번째 Root Cell 위치

      • ex. 0x20 + 0x1000 = 0x1020

      

2) Cell Structure

• Cell : 실제 레지스트리 데이터를 저장할 때 사용되는 단위

  • Hive Bin 보다 더 작은 논리적 저장 단위

• 헤더에는 Cell의 전체 길이가 저장됨 (무조건 8byte의 배수)

📌 (참고 개념) Cell map

• 레지스트리를 불러올 시 하이브 파일에 매번 접근하지 않기 위해 사용하는 것

  • 하이브 파일의 일부를 메모리에 매핑하여 그때그때 데이터를 읽어들이는 방식

  

  출처 : Forensic-Proof(FT-15-레지스트리-포렌식-분석.pdf)

a) Root Cell

• Key Cell의 첫번째를 가르키는 포인터 역할

b) Key Cell

• 레지스트리 키를 가지고 있는 가장 기본적인 Cell (Key Node 라고 불림)

• 가장 최근에 키를 수정한 시간 기록

• Base Block에서 계산한 첫번째 Root Cell 위치부터 시작

Key Cell 구조

• Key Cell 구조 중 상세 내용

  • Cell Size

    • 0x100000000 - Cell Size = Cell 크기

      • ex. 0x100000000 - 0xFFFFFFA8 = 0x58

      
  • Cell Flag

    • 16진수에서 2진수로 변환한 후 각 비트에 해당하는 상태나 속성 확인

    • ex. 0x2C → 00101100 = 임시 키, 휘발성 키, 심볼릭 링크

    • 비트 별 플래그 의미

      비트	플래그 의미
      비트 0 (0x01)	볼륨 섀도우 복사본에 포함되어 있는지
      비트 1 (0x02)	삭제된 상태인지
      비트 2 (0x03)	하이브의 임시 키인지
      비트 3 (0x04)	심볼릭 링크인지
      비트 4 (0x05)	로드된 하이브의 루트 키인지
      비트 5 (0x06)	휘발성 키인지
      비트 6 (0x07)	예약됨 (일반적으로 사용되지 않음)
      비트 7 (0x08)	예약됨 (일반적으로 사용되지 않음)

  • Key Name

    • 아스키 코드 형식으로 저장되어 있음

    • NULL이 문자열의 끝을 의미함

    

Key Cell 내부에는 Subkey List Cell (List Cell)과 Value Cell의 인덱스 목록을 가지고 있는 Subkey List Cell과 Value-list Cell의 내용도 같이 포함하고 있다.

• Subkey List Cell (List Cell)

  • 특정 키에 연결된 하위 키의 인덱스 목록

• Value-list Cell

  • Velue Cell들의 인덱스 목록

c) Value Cell

• value와 data, data의 타입이 들어 있는 셀

• 파일 역할을 하는 셀 (cf. Key Cell = 파일 시스템의 디렉토리 역할)

• 시그니처 : vk

Value Cell 구조

• Value Cell 구조 중 상세 내용

  • Value Type

  

d) Security Cell (Security-descriptor Cell)

• 보안 정보를 저장하고 관리하는 셀

• 레지스트리에 대한 액세스 제어를 정의하는 데에 필요한 정보를 포함하고 있음

• 시그니처 : sk

Security Cell 구조

• 해당 셀을 공유하고 있는 모든 키 노드의 개수도 같이 기록되어 있음

e) Data Cell

• 레지스트리의 Data를 저장하고 있는 셀

• 실제 데이터를 저장하고 있음

Data Cell 구조

• Data Cell은 저장하는 데이터의 크기에 따라 총 3가지 셀로 구분됨

  • Big Data Cell

    • 크기가 큰 데이터를 직접 저장하지 않고 해당 데이터가 어디에 있는지 알려주는 Big Data Indirect Cell의 위치 값을 저장

  • Big Data Indirect Cell

    • 실제 데이터가 저장되어 있는 Data Cell의 위치를 저장

  • Data Cell

    • 실제 데이터 저장

---

3. 분석 방안

레지스트리는 키 종류와 하이브 파일 구조 내 담는 데이터의 종류만 봐도, 사용자 PC에 대한 정보를 다양하게 모두 저장하고 있는 것을 알 수 있다. 레지스트리는 Windows의 모든 정보가 기록된다는 점에서 디지털 포렌식 분석에 있어 중요한 역할을 하므로, 이에 대해 주요 데이터 분석 내용을 익힐 필요가 있다.

레지스트리 분석 단계

다음과 같은 방법으로 레지스트리를 분석할 수 있다.

1. 레지스트리 파일 수집 : 분석 대상 PC에서 하이브 파일을 수집한다.

2. 분석 방향 결정 : 사고 유형별 우선 분석할 레지스트리 정보를 결정한다.

3. 시스템 정보 및 필요 정보 확인 : 특정 경로에 저장되어 있는 키 값과 데이터를 확인한다.

4. 이상 행위 탐지 : 정상적인 시스템 레지스트리와 비교해 의심 가는 드라이버 정보, 필수 키 값 삭제 등의 이상 행위를 탐지한다.

📌 다른 아티팩트 분석과 레지스트리 분석의 차이점

아티팩트 명	주요 분석 방법
레지스트리	대상 초기 정보 확인, 분석에 필요한 정보 확인 등
다른 아티팩트 (ex. 이벤트로그, 프리패치, 점프리스트 등)	이상 행위 분석, 타임라인 생성 등

➡️ 레지스트리 분석의 경우, 다른 아티팩트 분석과 달리 대상의 기본 정보를 확인하고 앞으로 분석에서 필요한 정보를 확인하거나 이상 징후를 발견하는 등 분석 대상 확인에 가깝다.

레지스트리 분석

레지스트리 키를 이용한 기본적인 정보 확인을 하는 방법은 다음과 같다.

1) 시스템 정보

• 키 경로 = HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion

• 확인 가능한 내용 : OS명, 설치 날짜, 빌드 버전, 시스템 경로 등

• 키 경로 = HKLM\SYSTEM\ControlSet001\Control\ComputerName\ComputerName

• 확인 가능한 내용 : 컴퓨터 명

2) 시간 정보

• 키 경로 = HKLM\SYSTEM\ControlSet001\Control\TimeZoneInformation

• 확인 가능한 내용 : 컴퓨터에서 사용하는 표준 시간대 정보

📌 시간 정보 변경 이력 확인

➡️ 레지스트리에서는 시간 변경 이력보단 시간 동기화 설정을 확인할 수 있다. 정확한 시간 변경 이력 확인을 원한다면 이벤트 로그를 이용해야 한다.

3) 연결된 네트워크 정보

• 키 경로 = HKLM\Microsoft\Windows NT\CurrentVersion\NetworkList

• 확인 가능한 내용 : 연결되어 있는 네트워크 정보

• NerworkList 키 하위의 Profiles 키에서 각 네트워크 별 세부 정보를 확인할 수 있음

4) 마지막 로그온한 사용자

• 키 경로 = HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI

• 확인 가능한 내용 : 마지막 로그인한 사용자 이름

5) 시스템 마지막 종료 시간

• 키 경로 = HKLM\SYSTEM\ControlSet001\Control\Windows

• 확인 가능한 내용 : 시스템 마지막 종료 시간

상황 별 분석

상황 별로 집중적으로 분석해야 할 레지스트리 키 종류와 분석 내용은 아래와 같다.

1) 원격 연결 이력 확인

• 키 경로 = NTUSER.dat\Software\Microsoft\Terminal Server Client\Default

• 확인 가능한 내용 : 분석 대상에서 원격 접속 시도한 IP 목록

• Serves 키 하위엔 원격 접속을 시도한 IP 명으로 키가 생성되는데, 해당 키에선 원격 접속 시도한 IP의 Username을 확인할 수 있음

📌 원격 유입 이력

➡️ 이벤트 로그와 달리 inbound의 원격 이력을 보여주는 것이 아닌, outbound의 원격 이력을 보여준다. 따라서 레지스트리를 이용해 원격 유입 이력을 확인하는 것은 어려우므로 해당 부분은 이벤트 로그를 이용해 분석하는 것을 추천한다.

2) 최근 실행 이력

• 최근 실행한 문서

  • 키 경로 = NTUSER.dat\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

  • 확인 가능한 내용 : 종류(문서, 폴더), 실행 파일 명

  

  • RecentDocs 하위에 각 확장자 별 키가 생성된 것을 확인할 수 있음

    • 생성된 키 내부에는 해당 확장자에 맞는 문서 및 폴더 실행 이력이 포함되어 있음

    
• 최근 실행한 명령어

  • 키 경로 =NTUSER.dat\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

  • 확인 가능한 내용 : ctrl + R (’실행’ 대화 상자)를 통해 실행한 명령어

  
• 최근 실행한 프로그램

  • 키 경로 = NTUSER.dat\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

  • 확인 가능한 내용 : 실행한 프로그램 명, 실행 횟수, 마지막 실행 시간

  

3) 삭제된 프로그램 정보

• 키 경로 = UsrClass.dat\Local Settings\Software\Microsoft\Windows\Shell\MuiCache

• 확인 가능한 내용 : 한번이라도 실행된 프로그램 목록

  • 윈도우에서 사용되는 기본 프로그램과 평소에 실행하지 않았던 프로그램 목록 포함

  

  • 한번이라도 실행되었으면 해당 키 하위에 value로 기록되며, 사용자가 임의로 삭제하지 않는 이상 계속 남아 있음

    • 이를 이용해 삭제된 프로그램 정보를 파악할 수 있음 (해당 목록과 실제 프로그램 이력 비교 분석 진행)

4) 자동 실행 등록 이력

• 시스템 및 관리자 권한의 자동 실행 프로그램

  • 키 경로 = HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  • 확인 가능한 내용 : 시스템 및 관리자 권한으로 등록된 자동 실행 프로그램 명, 경로

  

  • 위 사진 상 Everything의 경우 해당 경로에 자동 실행 프로그램으로 기록되어 있으므로, 관리자 권한으로 자동 실행되는 프로그램인 것을 알 수 있음

• 로그인한 사용자 계정으로 등록한 자동 실행 프로그램

  • 키 경로 = NTUSER.dat\Software\Microsoft\Windows\CurrentVersion\Run

  • 확인 가능한 내용 : 로그인한 사용자가 등록한 자동 실행 프로그램 명, 경로

  

📌 Run vs RunOnce 키

➡️ Run : 계속 자동 실행되는 프로그램 ➡️ RunOnce : 한번만자동 실행되는 프로그램

5) USB 연결 흔적

• 연결된 USB의 드라이브 문자열 및 일련번호

  • 키 경로 = HKLM\SYSTEM\MountedDevices

  • 확인 가능한 내용 : USB 별 부여된 드라이브 문자열 및 일련번호

  
• 라이브 시스템 상의 USB 연결 흔적

  • 키 경로 = HKLM\SYSTEM\ControlSet001\Enum\USB

  • 확인 가능한 내용 : 라이브 시스템 상의 USB 연결 흔적

  

  • cmd 명령어를 통해 출력할 수도 있음

  

📌 cmd에서 USB 연결 흔적을 가지고 오는 명령어

• reg query HKLM\SYSTEM\CurrentControlSet\Enum\SWD\WPDBUSENUM\ /s /f FriendlyName

  • USB에 저장되어 있던 일련 번호와 USB 볼륨 명 확인

• reg query HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR\ /s /f FriendlyName

  • USB 제조 명

• reg query HKLM\SYSTEM\CurrentControlSet\Enum\USB\ /s /f FriendlyName

  • 연결되었던 다른 매체 기록 (ex. Apple iPhone, Webcam, Bluetoothe 등

• reg query HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR\

  • 연결되었던 대용량 저장 장치

• reg query HKLM\SYSTEM\CurrentControlSet\Enum\USB\

  • 연결된 장치의 VID & PID 목록 출력

• reg query HKLM\SYSTEM\CurrentControlSet\Control\DeviceContainers\ /s /f "USB"

---

4. 분석 도구

레지스트리는 별도의 도구 없이 regedit를 이용해 키 확인 및 편집을 할 수 있다. regedit는 윈도우에서 기본적으로 제공하는 레지스트리 편집기로, 윈도우 + R 키 혹은 윈도우 키를 눌러 검색해 사용할 수 있다. regedit는 기본적으로 관리자 권한으로 실행되기 때문에, 별도의 설정 없이도 쉽게 레지스트리를 변경 및 추가할 수 있다. 레지스트리 편집기에서는 특정 값을 임의로 생성 및 수정할 수 있으며, 별도의 레지스트리 파일(.reg, 하이브 파일)을 가져오기 기능을 이용해 대상 PC에 삽입할 수도 있다. 단, 무분별한 레지스트리 편집은 컴퓨터 오류를 발생 시킬 수 있으므로, 이점 유의해서 레지스트리를 편집해야 한다.

기본적으로 제공되는 regedit는 레지스트리 편집에는 유용하게 쓰일 수 있지만, 실제 분석에서는 상용 도구인 Registry Explorer, RECmd, REGA를 사용한다. Registry Explorer와 RECmd는 Eric Zimmerman이 만든 레지스트리 분석 및 추출 도구로, Eric Zimmerman의 Github에서 실행 파일 형태로 다운 받을 수 있다.

• Eric Zimmerman Github : https://ericzimmerman.github.io/#!index.md

Registry Explorer는 레지스트리 뷰어로서, regedit와 유사하다. 하지만, Registry Explorer는 삭제된 키 값 복구, 북마크 기능을 지원하는 등 regedit보다 더욱 강력한 기능을 제공해 실 분석에서 좀 더 유용하게 쓰인다.

RECmd는 CLI 기반의 레지스트리 추출 및 분석 도구이다. --csv 명령어와 --json 명령어를 이용해 다양한 파일 포맷으로 레지스트리를 저장할 수 있으며, 이외의 다양한 옵션 값으로 특정 키 찾기, 특정 바이트 암호화하기, 삭제된 키 및 값 복구하기 등의 분석도 지원한다. 하지만, CLI 기반이다 보니, 실 분석에서 사용하기에는 어려움이 있다.

• RECmd 옵션 참고 Github : https://github.com/EricZimmerman/RECmd

REGA는 고려대 DFRC에서 만든 레지스트리 수집 및 분석 도구로서, DFRC 홈페이지 내에서 실행 파일 형태로 다운 받을 수 있다. 레지스트리 파일 수집 기능과 파일 열기 기능을 통해 대상 PC의 레지스트리를 수집하거나 삭제된 레지스트리 키를 복구할 수 있으며, 레지스트리 분석 기능을 이용해 수집한 레지스트리 파일에 대해 상세 분석을 진행할 수 있다. REGA의 좋은 점은 특정 활동에 대한 정보(ex. 윈도우 설치 정보, 응용프로그램 정보, 사용자 활동 정보 등)에 대한 레지스트리 키 값을 카테고리화 해, 직접 경로로 들어가 확인하지 않아도 바로 분석이 가능하다는 점이다.

• REGA - 고려대 DFRC 사이트 : https://dfrc.korea.ac.kr/infra_dfrc_tools

레지스트리 분석 시 사용할 수 있는 도구는 여러가지가 있지만, 가장 추천하는 분석 도구는 Registry Explorer와 REGA이다. 두 도구 모두 상세 분석 기능을 지원할 뿐만 아니라, 북마크 기능과 키워드 검색 기능과 같은 기능들로 레지스트리 분석을 용이하게 하기 때문이다. 특히 Registry Explorer의 경우 다른 도구들보다 간편하게 사용할 수 있다는 점과, REGA의 경우 레지스트리 키 값을 카테고리화 해 특정 활동에 대한 분석이 바로 가능하다는 점에서 분석 도구로 추천한다.

---

5. 참조

[Digital Forensic] Registry 분석

Registry Hive File Structure Analysis

Registry 구조 by 해커남

Windows Registry Forensics

Windows Registry Forensics Part II 2018 — Crucial Artefacts | Lucideus