Tag Archives: Regripper

윈도우 삭제된 레지스트리 확인 – regslack

윈도우 삭제된 레지스트리 확인 – regslack 파일 분석시 실제 내용을 지우지 않고 덮어쓰듯이 레지스트리 역시 삭제 플래그만 표시하고, 새로운 데이터가 덮어써 지기 전까지 사용되지 않는 공간에 남아있게 된다. 이를 틈새 공간(Slack space)라고 하며, 이 영역을 조사하여, 삭제한 정보를 확인할 수 있다. 해당 툴은 http://regripper.net 에서 다운로드 가능하였으나 현재 더 이상 운영되고 있지 않은 관계로, https://asecurity.so

Read More

Windows 사용자 추적 방법 – RegRipper, Userassist Keys, MUICache, MRUList, Typedurls, Exchange

Windows 사용자 추적 방법 현재 우리가 분석하고 있는 사고는 시스템 장애가 아닌 누군가 침입하여 조작하였다는 것을 가정으로 진행하고 있다. 따라서 누군가 침입하였다면, 분명 시스템을 사용한 흔적들이 레지스트리, 혹은 파일, 유저 데이터 영역에 남아 있게 된다. 이를 타임라인으로 통합을 통해 나누어 분석하게 되면, 사용자가 어떠한 작업을 진행하였는지 을 알 수 있다. 이와 같은 사용자 추적이 필요한

Read More