EnCase v7 Registry Analysis

Registry 저장 경로는 기본적으로 저장된 경로가 있고, 백업이 저장된 경로가 있다.

백업이 저장되는 경로는 백업내용이 적을 수도, 많을 수도 있다. 판단을 해서 Analysis 하면 된다.

보통 Software Key , System Key , SAM File , NTUSER.DAT 파일이 있는데 이런 파일에 대해 분석을 하면 된다.

흔히 보는 Registry 구조처럼 일반적으로 Regedit 에서 보는 데이터들이 단일 파일로 저장되는게 아니다. Regedit 처럼 보고 싶다면, 화면을 띄을 수 도 있다.

어떤 Artifact 의 경로를 잘 알고 있고, 확인을 하고 싶지만 EnCase 는 알아서 Category 정렬도 해주고 알아서 보여준다. 그런데 의문이 생길 수 있다. 실제로 Artifact 가 맞는지. 의문점을 확인하고 싶다면 View File Structure 기능을 통해 Analysis 하면 된다.

 

우선 Registry Analysis 이기 때문에 Parker's HDD 에서 Analysis 를 해야한다.

Parker's HDD -> C -> WINDOWS -> system32 -> config 경로로 이동을 하면 Registry File 을 확인할 수 있다.

해당 경로에서 Software Key , System Key , SAM File , NTUSER.DAT 파일을 Analysis 하면 된다.

대표적으로 SAM Key Analysis 을 해보겠다.

 

분석할 SAM File 을 선택하고 우클릭 -> Entries -> View File Structure 을 실행한다.

 

View File Structure Option pane 이 나타난다. 그럼 여기서 Option

Calculate unallocated space , Find deleted content 가 비활성화 되어 있다. 이 두가지 option 을 선택하고 OK 를 클릭한다.

 

 

 View File Structure Analysis 이 완료되면 역시 + 녹색 아이콘이 활성화 되는걸 확인할 수 있다. 해당 SAM File 을 클릭한다.

SAM Registry Key 의 Compound information 를 Analysis 할 수 있다.

이렇게 필요한 Software Key , System Key , SAM File , NTUSER.DAT File 을

View File Structure Analysis 을 통해 확인할 수 있다.