전체 글 (47) 썸네일형 리스트형 2. Instructions : Language of the Computer(3) https://yoojini.notion.site/2-Instructions-Language-of-the-Computer-3-f7a2e791ea0b45fe879a6045654a22c8 2. Instructions : Language of the Computer(3) 9. Communicating with People yoojini.notion.site 2. Instructions : Language of the Computer(2) https://yoojini.notion.site/2-Instructions-Language-of-the-Computer-2-70a83349555a45509064415d0d12abb8 2. Instructions : Language of the Computer(2) 7. Instructions for Making Decisions yoojini.notion.site 2. Instructions : Language of the Computer(1) https://yoojini.notion.site/2-Instructions-Language-of-the-Computer-1-d20b896b735b49998e84bd1d6b137075 2. Instructions : Language of the Computer(1) 1. Introduction yoojini.notion.site 12. system on/off & user logon/logoff [Question] List all traces about the system on/off and the user logon/logoff (It should be considered only during a time range between 09:00 and 18:00 in the timezone from Question 4.) ① 분석 도구 FTK Imager 4.3.0.18 Microsoft Message Analyzer ② 관련 경로 Root\Windows\System32\winevt\Logs ③ Event Log EventID Summary 4624 An account was successfully logged on 4647 User initiated logoff 4608 Windows is st.. 11. application execution log [Question] List application execution logs. (Executable path, execution time, execution count...) ① 분석 도구 FTK Imager WinPrefetchView ② 프리패치 마이크로소프트 윈도우 계열 운영체제 윈도우 XP부터 들어가는 윈도 구성 요소이며 메모리 관리자의 한 구성요소입니다. 윈도 부트 프로세스를 더 빠르게 해주며, 프로그램의 실행 시간을 줄여줍니다. (위키백과) ③ 분석 결과 Process EXE Last Run Time(UTC +9) Run Counter CHORME.EXE 2015-03-25 06:05:38 71 OUTLOOK.EXE 2015-03-25 11:41:03 1 ERASER 6.2.0.2962.EXE.. 10. installed application [Question] What application were installed by the suspect after installing OS? ① 분석 도구 Registry Explorer ② 관련 레지스트리 키 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall HKLM\SOFTWARE\Wow64Node\Microsoft\Windows\CurrentVersion\Uninstall ③ OS 설치 시각 2015-03-22 14:34:26 (GMT+0) ④ Anti-Forensic Application CCleaner 잠재적으로 불필요한 팡리과 잘못된 윈도우 레지스트리 항목을 제거하는 피리폼사 유틸리티입니다. 브라우저 히스토리, 쿠키, 휴지통, 메모리 덤프, .. 9. Network interface [Question] Explain the information of network interface(s) with an IP address assigned by DHCP ① 분석 도구 Registry Explorer ② 관련 레지스트리 키 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards\8 HKLM\SYSTEM\ControlSet\Services\Tcpip\Prarmeter\Interfaces\{GUID} ③ DHCP 동적 호스트 구성 프로토콜(Dynamic Host Configuration Protocol, DHCP)은 호스트IP 구성 관리를 단순화하는 IP 표준입니다. DHCP 표준에서는 DHCP 서버를 사용하여 IP 주소 및 관련 기타.. 8. last recorded shutdown date/time [Question] When was the last recorded shutdown date/time? ① 분석 도구 Registry Explorer ② 관련 레지스트리 키 HKLM\SYSTEM\ControlSet\Control\Windows ③ 분석 결과 57-A9-B5-10-67-D0-01'을 Window FILETIME(64bit)로 변환하면 '2015-03-25 15:31:05'이다. ShutdownTime (UTC -9) 2015-03-25 15:31:05 이전 1 2 3 4 5 6 다음
