Forensic Artifacts
-
Windows Registry
Registry Artifacts
TimeZone Information
- 특정 국가나 지역의 현지시간(Local Time)을 의미
- 국가 간 시차가 다르듯 사용하는 시스템의 셋팅 시간 값이 다름
- 분석 PC의 설정된 TimeZone과 수집한 PC의 TimeZone이 일치하지 않을 경우 정확한 TimeLine 분석 불가
포렌식적 관점
다양한 운영체제가 서로 다른 시간대를 구현하고 있기 때문에 이를 고려하는 것은 중요
레지스트리 키 값으로 증거의 타임라인이 조작되었는지 확인
시스템 표준 시간대를 확인하여 윈도우 아티팩트 분석시 타임라인 분석 가능
UTC (Coordinated Universal Time)
1972년 1월 1일 부터 시행된 국제 표준시
‘협정 세계시’, ‘협정 세계 표준시’로 불림
GMT와 큰 차이가 없어 혼용해서 사용하지만 기술적인 표기에는 UTC를 사용
GMT (Greenwich Mean Time)
‘런던을 기점으로 하여 웰링턴에서 종점으로 설정되어 있는 협정 세계시(UTC)의 기준 시간
TimeZone Information 구성
| Value | Description |
|---|---|
| TimeZoneKeyName | 로컬 컴퓨터의 표준 시간대 이름 |
| StandardStart | 일광 절약 시간에서 표준시간으로 전환될 때의 날짜 |
| StandardName | 해당 표준시간대의 표준 시간을 나타내는 이름 |
| StandardBias | 표준시간 동안 현지 시간 변환에 사용되는 분, 대부분 0 |
| DaylightStart | 표준시간에서 일광 절약 시간으로 전환될 때의 날짜 |
| DaylightName | 표준 시간대의 일광절약 시간을 나타내는 이름/td> |
| DaylightBias | 일광 절약 시간동안 현지 시간 변환에 사용되는 분, 대부분 -60 |
| Bias | 현지 시간 변환에 대한 현재 분, UTC와 현지 시간의 차이 |
| ActiveTimeBias | 시스템 시간 동안 GMT에서 offset된 시간 |
HKLM\SYSTEM\ControlSet00x\Control\TimeZoneInformation
MiTeC Windows Registry Recovery 분석
수집된 분석 시스템의 SYSTEM 하이브 파일을 불러온 후 실제 레지스트리 경로를 찾아가 타임존 정보 확인
TimeZone Information 구성
Services/Driver
MiTeC Windows Registry Recovery 분석
- 오픈소스인 TimeZonesView v1.06 프로그램은 모든 세계 표준 시간대를 표시
- 모든 시간대에 대해 이름, 설명,이 시간대의 현재 날짜/시간 및 일광 절약 시간이 시작되고 끝나는 날짜/시간 정보 확인 가능능
