[포렌식] registry ripper
2019. 11. 9. 01:03ㆍ사이버포렌식
Regripper는 Harlan Carvey에서 개발한 레지스트리 분석 도구로 데스크탑, 노트북의 장비들의 사용기록을 조사하는데 유용하게 사용할 수 있는 툴이다.
먼저 FTK로 dd파일을 마운트 시킨 뒤 드라이브에서 Window\System32\config 폴더에 들어있는 각종 정보들이 들어있는 레지스트리 파일들을 extract시켜 저장해둔다음 Regripper.exe를 실행시킨다.
Regripper는 각종 plugin 들을 지원해 주는데 맞는 레지스트리에 맞추어 Rip it을 클릭해 주면 알아서 정보들을 파싱한 상태로 txt파일로 보여준다.
위와 같이 유용한 정보들을 얻을 수 있어 분석하는데 도움이 된다.
'사이버포렌식' 카테고리의 다른 글
[사이버포렌식] USB tracking (0) | 2019.11.09 |
---|