- 운영체제, 사용자, 그룹 등 기본 시스템 정보 확인
- 시스템에 등록된 컴퓨터 이름 확인
- 마지막 종료 시간 확인
■ HKLM\SOFT\WARE\Microsoft\WindowsNT\CurrentVersion
- 시스템 기본정보
- ProductName: 운영체제 이름
- Owner: 사용자 이름
- Organization: 조직 이름
- Productld: 운영체제 식별자
- BuildLab(Ex): 운영체제 세부 버전
- InstallData: 운영체제 설치 날짜(유닉스 시간 형식)
- SystemRoot: 운영체제 설치 루트
■ HKLM\SYSTEM\ControlSet00x\Control\ComputerName\ActiveComputerName
- 시스템에 등록된 컴퓨터 이름
■ HKLM\SYSTEM\ControlSet00x\Control\Windows\ShutdownTime
- 마지막 종료 시간
- Dcode를 활용한 디코딩 분석( https://www.digital-detective.net/dcode/)
- Dcode를 이용한 HEX 값을 디코딩하여 실제 접속 종료시간을 확인
- MiTec Windows Registry Recovery를 활용한 RawData 분석(https://www.mitec.cz/wrr.html)
* 실제 레지스트리 경로를 확인하여 시스템 기본정보 확인
* 레지스트리 경로를 찾아가지 않고 시스템 기본정보 확인 가능
* File Information 정보 확인 Hive name Path 확인
- RawData Information 시스템 정보 확인
* 레지스트리 경로를 찾아가 시스템에 등록된 컴퓨터 이름 확인
*레지스트리 경로를 찾아가 시스템 마지막 종료 시간 확인(디코딩을 통하여 확인 가능)
- REGA를 활용한 레지스트리 분석(http://forensic.korea.ac.kr/tools.html)
* HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion 경로 확인
* [도구상자]-[윈도우 설치 정보]를 통해서 기본적인 시스템 정보 확인
'컴퓨터개론 > Windows' 카테고리의 다른 글
| Registry(User Account) (0) | 2023.03.28 |
|---|---|
| Registry(TimeZone Information) (0) | 2023.03.24 |
| 레지스트리 내부구조 (0) | 2023.03.16 |
| Registry Analysis(2) (0) | 2023.03.13 |
| Registry Analysis(1) (0) | 2023.03.12 |