잡다한IT

- 시스템사용자 목록 - 시스템 사용자 프로필 목록 - 마지막 로그인 사용자 정보 - 각 사용자 별 기본 경로 - regidit 편집기로 확인 할 수 있는 정보가 없다. - SAM 정보는 System 권한으로 확인 가능 하기 때문에 Windows Registry Recovery를 사용하여 확인 가능 ■ SAM\SAM\Domain\Account\Users\{RID} ■ SAM\SAM\Domain\Account\Users\Names\{Accounts} - 사용자의 계정정보는 Users → {RID} 폴더의 F, V 값에 저장 - F값의 계정 정보: * 최종 로그인 시각(Offset 8-15) * 패스워드 재설정 시각(Offset 24-31) * 계정 만료 시각(Offset 32-39) * 로그인 실패 시각(..

- 각 국가 및 지역의 현지시간(Local Time) 의미 - 각 국가마다 시간차로 인한 시스템의 세팅 시간이 다르다. - 분석 PC의 설정된 TimeZone과 수집한 PC의 TimeZone이 일치하지 않는 경우 정확한 타임라인 분석이 불가하다. - UTC(Coordinated Univrsal Time) 및 GMT(Greenwich Mean Time)는 관련 포스팅을 참고하면 좋을 듯하다. ■ TimeZone Information - TimeZoneKeyName: 로컬 컴퓨터의 표준 시간대 이름 - StandardStart: 일광 절약 시간에서 표준시간으로 전환될 때의 날짜 - StandardName: 해당 표준시간대의 표준 시간을 나태 내는 이름 - StandardBias: 표준시간 동안 현지 시간 변..

- 운영체제, 사용자, 그룹 등 기본 시스템 정보 확인 - 시스템에 등록된 컴퓨터 이름 확인 - 마지막 종료 시간 확인 ■ HKLM\SOFT\WARE\Microsoft\WindowsNT\CurrentVersion - 시스템 기본정보 - ProductName: 운영체제 이름 - Owner: 사용자 이름 - Organization: 조직 이름 - Productld: 운영체제 식별자 - BuildLab(Ex): 운영체제 세부 버전 - InstallData: 운영체제 설치 날짜(유닉스 시간 형식) - SystemRoot: 운영체제 설치 루트 ■ HKLM\SYSTEM\ControlSet00x\Control\ComputerName\ActiveComputerName - 시스템에 등록된 컴퓨터 이름 ■ HKLM\SYS..

레지스트리는 헤더와 여러 개의 hive bind으로 구성되어 있다. 논리적인 할당 단위 블록 크기 4096byte로 일정하게 구성되어 있다. - 레지스트리 헤더 레지스트리 헤더 또는 하이브 헤더 라고 한다. 시그니처, 갱신 순서 번호, 마지막 수정시간, 레지스트리 복구에 관한 정보, 하이브 포맷 버전 번호 등의 정보가 있다. 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F 0x00 Signature “regf” Sequence Num1 Sequence Num2 Timestamp 0x10 Major Version Minor Version Unknown 0x20 Unknown Start of Root Cell Start of last hbin Always 1 0x30 H..

Windows 레지스트리의 하이브는 레지스트리 키, 레지스트리 하위 키 및 레지스프리값을 포함하는 개념이며 하이브로 간주되는 모든 키는 "HKEY"로 시작하며 루트 또는 레지스트리의 최상위에 있으며 루트키 또는 핵심 시스템 하이브라고 한다. 아래의 그림과 같이 설치한 프로그램의 정보도 알수 있는 하나의 예이다. - HIVE Information * HEKY_CLASS_ROOT: 파일확장자와 애플리케이션의 파일연관성과 COM 정보 * HEKY_CURRENT_USER: 현재 시스템에 로그인되어있는 사용자 정보 및 관련 시스템 정보 * HEKY_LOCAL_MACHINE: 시스템의 하드웨어 및 소프트웨어 정보 * HEKY_USERS: 시스템에 로드된 모든 사용자 정보 * HEKY_CURRENT_CONFIG: 시..

* 레지스트리란? - 윈도시스템에서 운영체제 및 애플리케이션에 관한 각종 설정 정보를 가지고 있는 데이터베이스 - OS 초기 DOS 와 윈도 3.1 시스템 환경설정 정보 config.sys, system.ini, autoexec.bat 에 저장되어 운영 - 이 후 윈도 버전들은 이 파일들을 애플리케이션, 하드웨어 장치 및 사용자에 대한 환경설정을 유지하는 중앙계층적 데이터베이스 형태 의 레지스트리로 대체하였음. - 시스템 정보와 사용자의 다양한 활동에 대한 분석이 가능하기 때문에 Windows Forensic에 매우 중요한 부분이다. * 레지스트리 항목 - 시스템 정보: 레지스트리에는 시스템의 초기 설치부터, 운영체제 버전 정보 및 여러 가지 시스템 구성 정보 기록 - 응용프로그램 사용 내역: 레지스트리..

환경변수는 pc에서 자동으로 경로를 확인하고 유지 관리하는 변수이다. 환경변수를 설정하면 간단하게 경로를 확인하고 연결할 수 있어 매우 편리하다. 환경변수는 시스템 변수와 사용자 변수로 구분된다. - 시스템 변수: 모든 사용자 - 사용자 변수: 로그인 대상 사용 즉 모든 사용자가 자유롭게 사용하고 싶다면 시스템 변수에 등록하는게 좋겠죠(?) - 윈도우 +S 키를 눌러 검색창에 "시스템 환경 변수 편집을 입력 합니다. - 시스템 속성창 하단에 보시면 "환경변수" 박스가 보입니다. "클릭" - (상단) 사용자 환경 변수 창 - (하단) 시스템 환경 변수 창 - "Path" 변수 창을 "더블클릭" or "선택-편집"으로 "클릭" - "새로 만들기" or "편집" 창을 클릭 후 사용할 Program Path를 ..