Question 10

10번 문제 입니다!

10. What is the account name of the user who mostly uses the computer?

해석하면 : 10. 주로 컴퓨터를 사용하는 사용자의 계정 이름은 무엇입니까?

이건  https://asecurity.dev/2017/11/%EC%9C%88%EB%8F%84%EC%9A%B0-sam-%EB%A0%88%EC%A7%80%EC%8A%A4%ED%8A%B8%EB%A6%AC-%EC%82%AC%EC%9A%A9%EC%9E%90-%EA%B4%80%EB%A6%AC-net-user/ 이 블로그를 참고했다.

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names 여기에 윈도우 계정들이 존재한다.

요 순으로 작성이 되어있는데 

1F4h를 10진수로 변환하면 500이라는 값이 되는데 이게 Administrator 라고 한다.

그렇다면 하나하나 알아보자.

각각 폴더에 V 값에각각 확인해 보고 어느 사용자꺼인지 식별한다.

해당에 폴더에 F 값이 존재하는데 여기서 자세한 내용을 확인해 볼 수 있다.

우리가 알아햐 할 것은 아마 로그인 횟수 일것이다.

Offset 42h(2바이트): 로그인 횟수를 기록한다. !! 이것을 기준으로 파악해본다.

0번이닷 쭉쭉쭉 하다가 

Mr.Evil 에 보니 

Fh 로 15번 로그인 했다고한다.

REGA 도구 기능으로 확인해 보았는데.

Good ! 정답은 Mr. Evil !