Dominic Repo

10번 문제 입니다! 10. What is the account name of the user who mostly uses the computer? 해석하면 : 10. 주로 컴퓨터를 사용하는 사용자의 계정 이름은 무엇입니까? 이건 https://asecurity.dev/2017/11/%EC%9C%88%EB%8F%84%EC%9A%B0-sam-%EB%A0%88%EC%A7%80%EC%8A%A4%ED%8A%B8%EB%A6%AC-%EC%82%AC%EC%9A%A9%EC%9E%90-%EA%B4%80%EB%A6%AC-net-user/ 이 블로그를 참고했다. HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names 여기에 윈도우 계정들이 존재한다. 요 순으로 작성이 되어있는데 1..

아홉번째 문제이다! 9. How many accounts are recorded (total number)? 9. 몇 개의 계정이 기록됩니까 (총 수)? HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names 여기에 윈도우 계정들이 존재한다. 계정은 총 5개! REGA 툴의 사용자 계정 정보도 확인해 본 결과 5개!!

여덟번째 문제입니다! 8. When was the last recorded computer shutdown date/time? 번역 : 8. 마지막으로 기록 된 컴퓨터 종료 날짜 / 시간은 언제입니까? 돌고도는 참고 URL - (참고 : http://blog.naver.com/PostView.nhn?blogId=gyurse&logNo=221241450040&categoryNo=20&parentCategoryNo=16&viewDate=&currentPage=1&postListTopCurrentPage=1&from=postView ) ( https://m.blog.naver.com/PostView.nhn?blogId=wwwkasa&logNo=80132905555&proxyReferer=https://www...

7번 문제입니다! 7. What is the primary domain name? 번역 : 7. 기본 도메인 이름은 무엇입니까? 도메인이라.. 일단 한번 탐색 시작! 둘러보던중 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon에 도착했다. 음..이건 전 문제에서 봤던 컴퓨터 이름이였는데 찾아보니 마지막 로그온 한 사용자 라고 한다. (참고 : http://blog.naver.com/PostView.nhn?blogId=gyurse&logNo=221241450040&categoryNo=20&parentCategoryNo=16&viewDate=&currentPage=1&postListTopCurrentPage=1&from=postView) ( https:..

여섯번째 문제입니다! 6. What is the computer account name? 번역 : 6. 컴퓨터 계정 이름은 무엇입니까? 계정이면.. 우선 시스템 정보를 담고있는 레지스트리를 까보도록한다. 전에 문제 풀었던 좋은 블로그를 참조하여 (https://m.blog.naver.com/bitnang/70180095500) 컴퓨터 이름을 확인하는 레지스트리를 확인해 볼 수 있었다. HKLM\SYSTEM\ControlSet00X\Control\ComputerName\ActiveComputerName ComputerName 를 확인 하면 시스템 속성에 있는 컴퓨터 이름을 확인 할 수 있다고 한다. REGA를 이용하여 한번 확인해 보도록하자. 흠 이건 컴퓨터 이름인데 컴퓨터 계정 이름과 같은지는 모르겠다...

5. Who is the registered owner? 번역 : 5. 등록 된 소유자는 누구입니까? 경로(HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion)에서 아래와 같이 확인해 볼 수 있는데 ProductName : 운영체제 이름 Owner : 사용자 이름 Organization : 조직 이름 ProductId : 운영체제 식별자 BuildLab(Ex) : 운영체제 세부 버전 InstallDate : 운영체제 설치 날짜(유닉스 시간 형식) SystemRoot : 운영체제 설치 루트 폴더 기본적인 정보는 위와 같은 경로에 들어있는것같다. 항상 주의하고 알아보면 될것같다.

4. What is the timezone settings? 번역 : 4. 시간대 설정은 무엇입니까? 출처 : https://books.google.co.kr/books?id=LaCKDwAAQBAJ&pg=PA192&lpg=PA192&dq=%ED%8F%AC%EB%A0%8C%EC%8B%9D+%EC%8B%9C%EA%B0%84%EB%8C%80+%EC%84%A4%EC%A0%95&source=bl&ots=q5dzDzZc87&sig=ACfU3U0eNw9FbppHHgySMAWPtWB70Li1SA&hl=ko&sa=X&ved=2ahUKEwiuzMC_pqLjAhXKZt4KHf_vCWsQ6AEwBnoECAgQAQ#v=onepage&q=%ED%8F%AC%EB%A0%8C%EC%8B%9D%20%EC%8B%9C%EA%B0%84%EB..

3. When was the install date? 번역 : 3. 설치 날짜는 언제입니까? 문제2와 동일한 경로(HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion)에서 아래와 같이 확인해 볼 수 있는데 ProductName : 운영체제 이름 Owner : 사용자 이름 Organization : 조직 이름 ProductId : 운영체제 식별자 BuildLab(Ex) : 운영체제 세부 버전 InstallDate : 운영체제 설치 날짜(유닉스 시간 형식) SystemRoot : 운영체제 설치 루트 폴더 이렇게 유닉스 시간 형식으로 나와있다. 구글에서 UNIX시간 > 일반시간 변환기를 이용해 확인한 결과 1971-04-23( Friday, April 23rd 1971, ..

두번째 문제 입니다! 2. What operating system was used on the computer? 번역하면 : 2. 컴퓨터에서 사용 된 운영 체제는 무엇입니까? FTK Imager 툴을 이용해 바로 끝..? 이렇게 쉬울리가 없지 더 정확하게 분석해보자. https://jihwan4862.tistory.com/95 https://m.blog.naver.com/bitnang/70180095500 위 글을 참고해서 레지스트리 분석은 왜 하는지, 하이브 파일은 무엇인지, 기본 시스템 정보는 어디에서 확인하는지 공부할수 있다. 우리가 봐야할것은 기본 시스템 정보 확인이다. 레지스트리 구성 하이브 파일 중 Boot(BCD00000000),HARDWARE를 제외한 파일들은 C:\Windows\Syste..

문제는 다음과 같다. 1. What is the image hash? Does the acquisition and verification hash match? 해석해 보자면 1. 이미지 해시가 무엇입니까? 획득 및 검증 해시가 일치합니까? 시작부터 만만치 않다.. 디지털포렌식을 전혀 직접 해본적이 없어서 툴 설치부터 난관이였다. 먼저 ftk imager 를 공식 홈페이지에서 최신버전을 겨우겨우 받아 설치를 완료! ftk imager의 사용법을 익혔다. 출처 : https://k-dfc.tistory.com/34 처음에 다운받았을때 이미지가 2개 , 문제 총 3개의 파일이 있었다. 딱 보아하니 이미지 파일이라고 했는데 e01, e02로 나뉘어진것을 보니 용량이 커서 분할되어진듯..? ftk imager 툴..