CFReDS (12) 썸네일형 리스트형 12. system on/off & user logon/logoff [Question] List all traces about the system on/off and the user logon/logoff (It should be considered only during a time range between 09:00 and 18:00 in the timezone from Question 4.) ① 분석 도구 FTK Imager 4.3.0.18 Microsoft Message Analyzer ② 관련 경로 Root\Windows\System32\winevt\Logs ③ Event Log EventID Summary 4624 An account was successfully logged on 4647 User initiated logoff 4608 Windows is st.. 11. application execution log [Question] List application execution logs. (Executable path, execution time, execution count...) ① 분석 도구 FTK Imager WinPrefetchView ② 프리패치 마이크로소프트 윈도우 계열 운영체제 윈도우 XP부터 들어가는 윈도 구성 요소이며 메모리 관리자의 한 구성요소입니다. 윈도 부트 프로세스를 더 빠르게 해주며, 프로그램의 실행 시간을 줄여줍니다. (위키백과) ③ 분석 결과 Process EXE Last Run Time(UTC +9) Run Counter CHORME.EXE 2015-03-25 06:05:38 71 OUTLOOK.EXE 2015-03-25 11:41:03 1 ERASER 6.2.0.2962.EXE.. 10. installed application [Question] What application were installed by the suspect after installing OS? ① 분석 도구 Registry Explorer ② 관련 레지스트리 키 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall HKLM\SOFTWARE\Wow64Node\Microsoft\Windows\CurrentVersion\Uninstall ③ OS 설치 시각 2015-03-22 14:34:26 (GMT+0) ④ Anti-Forensic Application CCleaner 잠재적으로 불필요한 팡리과 잘못된 윈도우 레지스트리 항목을 제거하는 피리폼사 유틸리티입니다. 브라우저 히스토리, 쿠키, 휴지통, 메모리 덤프, .. 9. Network interface [Question] Explain the information of network interface(s) with an IP address assigned by DHCP ① 분석 도구 Registry Explorer ② 관련 레지스트리 키 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards\8 HKLM\SYSTEM\ControlSet\Services\Tcpip\Prarmeter\Interfaces\{GUID} ③ DHCP 동적 호스트 구성 프로토콜(Dynamic Host Configuration Protocol, DHCP)은 호스트IP 구성 관리를 단순화하는 IP 표준입니다. DHCP 표준에서는 DHCP 서버를 사용하여 IP 주소 및 관련 기타.. 8. last recorded shutdown date/time [Question] When was the last recorded shutdown date/time? ① 분석 도구 Registry Explorer ② 관련 레지스트리 키 HKLM\SYSTEM\ControlSet\Control\Windows ③ 분석 결과 57-A9-B5-10-67-D0-01'을 Window FILETIME(64bit)로 변환하면 '2015-03-25 15:31:05'이다. ShutdownTime (UTC -9) 2015-03-25 15:31:05 7. last logon [Question] Who was the last user to logon into PC? ① 분석 도구 Registry Explorer ② 관련 경로 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI ③ 분석 결과 LastLoggedOnUser informant 6. accounts [Question] List all accounts in OS except the system accounts : Administrator, Guest, systemprofile, LocalService, NetworkService. (Account name, login count, last logon date...) ① 분석 도구 Registry Explorer ② 관련 경로 HKLM\SAM\SAM\Domains\Account\Users ③ Security Identifier(SID) (위키백과) 보안식별자(Security Identifier, SID)는 마이크로소프트 윈도우 NT 계열의 운영체제 환경에서 NT/2000 시스템의 네트워크 안의 사용자 그룹이나 사용자와 같은 주체를 식별할 목적으로, 로그.. 5. Computer name [Question] What is the computer name? ① 분석 도구 Registry Explorer ② 관련 경로 HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName ③ 분석 결과 ComputerName INFORMANT-PC 이전 1 2 다음
