Forensic Artifacts
-
Windows Registry
Registry Artifacts
System Information
- 운영체제, 사용자, 조직 등 기본 시스템 정보 확인
- 시스템에 등록 된 컴퓨터 이름 확인
- 마지막 종료 시간 확인
시스템 기본 정보
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion
주요 하위 키 값
| Name | Data |
|---|---|
| ProductName | 운영체제 이름 |
| Owner | 사용자 이름 |
| Organization | 조직 이름 |
| ProductId | 운영체제 식별자 |
| BuildLab(Ex) | 운영체제 세부 버전 |
| InstallData | 운영체제 설치 날짜 (유닉스 시간 형식) |
| SystemRoot | 운영체제 설치 루트 |
시스템에 등록 된 컴퓨터 이름
HKLM\SYSTEM\ControlSet00x\Control\ComputerName\ActiveComputerName
마지막 종료 시간
HKLM\SYSTEM\ControlSet00x\Control\Windows\ShutdownTime
MiTeC Windows Registry Recovery 분석
- Dcode v5.2를 활용해 데이터 디코딩
- 실제 레지스트리 경로를 찾아가 시스템 기본 정보 확인
- 실제 레지스트리 경로를 찾아가지 않고 시스템 기본 정보 확인 가능
- 실제 레지스트리 경로를 찾아가 시스템에 등록된 컴퓨터 이름 확인
- 실제 레지스트리 경로를 찾아가지 않고 시스템에 등록된 컴퓨터 이름 확인 가능
- 실제 레지스트리 경로를 찾아가 시스템 마지막 종료 시간 확인 (데이터 디코딩 필요)
- 실제 레지스트리 경로를 찾아가지 않고 시스템 마지막 종료 시간 확인 가능
- [REGA]를 활용하여 실제 레지스트리 경로에서 시스템 기본 정보 확인
- HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion 경로 확인
- [도구상자]–[윈도우 설치 정보]–[윈도우 설치 정보]를 통해서 기본적인 시스템 정보 확인
