Test

#About

A고등학교 컴퓨터실은 최신 컴퓨터를 기반으로 다양한 IT수업을 진행한다. 최근 학생들이 학교 컴퓨터실 몰래 침입해 게임을 한다는 소문을 듣고 분석을 시도하였다. 하지만 알 수 없는 이유로 학교 컴퓨터에 존재하는 모든 Prefetch 파일과 링크 파일이 삭제되어 과거 실행된 프로그램에 대한 정보를 얻을 수 없었다. 아쉬운 대로 학교측에서는 레지스트리 파일만 확보하여 분석을 의뢰해 왔다. 주어진 레지스트리 파일을 분석하여 학생들이 즐긴 것으로 의심되는 게임의 이름을 알아내라.

(영어로 입력, 대소문자 구분 없음)

#Solution

[그림 1] - 문제 파일 확인

문제로부터 제공받은 SHIM CACHE_2 폴더 안에는 5개의 레지스트리 하이브 파일을 확인할 수 있었으며

 그 중 윈도우에 설치 된 응용 프로그램 및 소프트웨어에 관련한 레지스트리 하이브 파일은 SOFTWARE에 해당한다

[그림 2] - 레지스트리 트리 확인

레지스트리 파일의 분석을 위해 REGA라는 도구를 사용 했으며 출처는 아래와 같다

http://forensic.korea.ac.kr/tools/rega.html

[그림 2]의 레지스트리를 확인하면 Blizzard Entertainment의 하위 트리에서 Starcraft를 확인할 수 있다

Answer = Starcraft