- 시스템사용자 목록
- 시스템 사용자 프로필 목록
- 마지막 로그인 사용자 정보
- 각 사용자 별 기본 경로
- regidit 편집기로 확인 할 수 있는 정보가 없다.
- SAM 정보는 System 권한으로 확인 가능 하기 때문에 Windows Registry Recovery를 사용하여 확인 가능
■ SAM\SAM\Domain\Account\Users\{RID}
■ SAM\SAM\Domain\Account\Users\Names\{Accounts}
- 사용자의 계정정보는 Users → {RID} 폴더의 F, V 값에 저장
- F값의 계정 정보:
* 최종 로그인 시각(Offset 8-15)
* 패스워드 재설정 시각(Offset 24-31)
* 계정 만료 시각(Offset 32-39)
* 로그인 실패 시각(Offset 40-47)
* RID(SID의 마지막 식별 부분)
* 계정 상태 정보
* 국가 코드
* 로그인 실패 횟수
* 로그인 성공 횟수
- V값 계정 정보
* 로그인 계정 이름
* 전체 이름
* 계정 설명
* LM 해시
* NT 해시
- REGA를 이용한 F/V 값 계정 정보 확인
- 시스템 사용자 프로필 목록
■ HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ProfileList\{SID}
* 사용자{SID}별로 사용자 프로필 정보를 저장
- SID(Security Identifier, 보안 식별자)
S: SID를 나타내는 식별자
1: SID 세부 버전
5: 권한 식별자
21-3905850100-953135177-711137615: 도메인 또는 로컬 컴퓨터 식별자
1002: RID(Relative ID)로 관리자 계정은 500, 사용자 계정은 1000번대 이상의 값
- 마지막 로그인 사용자
■ HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
* LastUsedUsername 값이 마직막 로그인 사용자를 확인 할 수 있다.
- 사용자 별 기본 경로
■ HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
'컴퓨터개론 > Windows' 카테고리의 다른 글
| Registry(TimeZone Information) (0) | 2023.03.24 |
|---|---|
| Rigistry(System Information) (0) | 2023.03.21 |
| 레지스트리 내부구조 (0) | 2023.03.16 |
| Registry Analysis(2) (0) | 2023.03.13 |
| Registry Analysis(1) (0) | 2023.03.12 |