- 분류 전체보기 (474)
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
- imageinfo
- 2018
- dreamhack
- frida
- beebox
- binwalk
- CTF-d
- filescan
- elasticsearch
- foremost
- ctf
- igoat
- lord of sql injection
- Suninatas
- 안드로이드
- diva
- FTK Imager
- otter
- kibana
- Strings
- Openstack
- SQL Injection
- Volatility
- InsecureBank
- ESXi
- Docker
- base64
- 인시큐어뱅크
- XSS
- vulnhub
- Today
- Total
Information Security
윈도우 운영체제의 설치에 관한 정보 분석 연습문제 본문
1. ‘Episode01.01’ 파일을 다운로드한다.
- 다운로드할 곳 : https://github.com/bjpublic/Winsecurity
- MD5 해시값 : FA1F6E267FC08714473C20A89D6443D
2. FTK Imager 프로그램(version 4.5)을 다운로드한다.
3. AccessData 사의 Registry Viewer(version 2.0.0)을 다운로드한다
4. DCode 프로그램을 다운로드한다.
- 다운로드할 곳 : https://www.digital-detective.net/dcode/
5. Belkasoft 사의 Belkasoft X (Trial Version)을 다운로드한다.
6. FTK Imager에 ‘Episode01.01’ 파일을 추가한다.
① 바탕화면의 FTK Imager 아이콘에서 마우스 우측 버튼을 클릭하여 관리자 권한으로 실행한다.
② [File] → [Add Evidence Item] → [Image File] → [Browse]를 클릭한 후 ‘Episode01.01’ 파일을 로드한다.
③ 왼쪽 트리 구조에서 이미지 파일에 포함된 데이터를 확인한다.
7. ‘Episode01.01’에서 분석 대상 파일을 내보내기를 한다.
① 왼쪽 트리 구조에서 마우스 우측 버튼을 클릭하여 [Export Files]를 클릭한다.
② 원하는 경로에 폴더와 파일을 내보내기 한다. (파일만 내보내기를 하려면 오른쪽 테이블에서 해당 파일을 찾은 후 마우스 우측 버튼을 눌러 내보낸다)
8. Registry Viewer를 실행하여 [File] → [Open]을 클릭한 후 SYSTEM 파일을 추가하여 다음의 사항을 분석한다.
① 컴퓨터 이름을 확인한다.
② 마지막 종료 시각을 확인한다.
9. Registry Viewer를 실행하여 [File] → [Open]을 클릭한 후 Software 파일을 추가하여 다음의 사항을 분석한다.
① 윈도우 운영체제의 버전을 확인한다.
② 운영체제 설치 시 등록된 사용자의 이름을 확인한다.
③ 운영체제의 설치 시각을 찾아 Dcode 프로그램으로 확인한다.
- $MFT 파일의 수정 시간과 비교한다
.④ 마지막으로 로그인한 시각을 확인한다.
- NTUSER.DAT 파일의 수정 시간과 비교한다.
10. Belkasoft Evidence Center X 프로그램을 실행하여 [Create Case] → Create Case 창에 사건명과 분석 결과를 저장할 폴더를 지정한 후 [Create]를 클릭 → [Add a new data source to the case] → [Add existing] → [Image] 순으로 클릭하여 ‘Episode01.01’ 파일을 추가하고 [Next]를 클릭하여 데이터를 처리한 다음, 다음의 사항을 분석한다.
① [Structure] 탭 → SYSTEM 레지스트리 → Windows 카테고리에서 컴퓨터 이름(ComputerName)을 확인한다.
② [Structure] 탭 → SYSTEM 레지스트리 → Windows 카테고리에서 마지막 종료 시각(ShutdownTime)을 확인한다.
③ [File System] 탭 → Windows → System32 → config → Software를 클릭한 후 하단의 [Registry] 탭을 클릭하여 아래의 경로에서 ‘등록된 사용자의 이름(Registered Owner)’을 확인한다.
- SOFTWARE\Microsoft\Windows NT\CurrentVersion
④ [Structure] 탭 → SOFTWARE 레지스트리 → Windows 카테고리에서 운영체제 설치 일자(InstallDate)를 확인한다.
⑤ [Structure] 탭 → SOFTWARE 레지스트리 → Windows 카테고리에서 윈도우 운영체제의 제품명(ProductName)을 확인한다.
⑥ [Structure] 탭 → SOFTWARE 레지스트리 → Windows 카테고리에서 마지막으로 로그인한 사용자의 이름(LastLoggedOnSAMUser)을 확인한다.
'포렌식 > 윈도우 디지털 포렌식 완벽 활용서' 카테고리의 다른 글
| 컴퓨터에 연결된 외부 장치 분석 연습문제 (0) | 2026.02.21 |
|---|---|
| 컴퓨터의 주된 사용자에 관한 분석 (0) | 2026.02.21 |
| 디스크와 파티션 연습문제 (0) | 2026.02.16 |
