20250207

2) 진짜 사용자는 누구인가?
SAM 파일 분석
manager
RID(Relative Identifier): 비교 식별 값
F(Fixed format): 고정적 형식
V(variable format): 유동적 형식

포렌식할 때 알아내야 할 것

SAM 파일 SID(8바이트씩)
Index 0-7: 02 00 01 00 00 00 00 00
Index 8-15: 1C 64 82 92 5B 78 DB 01
Index 16-23: 00 00 00 00 00 00 00 00
Index 24-31: 58 54 D7 7C E4 33 D6 01
Index 32-39: FF FF FF FF FF FF FF 7F
Index 40-47: 00 00 00 00 00 00 00 00
Index 48-55: E8 03 00 00 01 02 00 00
Index 56-63: 14 02 00 00 00 00 00 00
Index 64-71: 00 00 28 00 01 00 00 00
Index 72-79: 00 00 21 01 00 00 00 00
마지막 로그인 시각: 1C 64 82 92 5B 78 DB 01
마지막 패스워드 변경 시각:
마지막 실패 로그인 시각:
로그온 회수:

SOFTWARE 레지스트리 파일
윈도우 설치 시간: 0x5ECDF569 (1590556009)


3) 무슨 사이트에 접속했는가?

NTUSER.DAT 파일을 분석하라-> 각 계정 별로 존재함

최근 실행한 프로그램 및 파일
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

자동 실행 프로그램
SOFTWARE\Microsoft\Windows\CurrentVersion\Run

웹브라우저 히스토리 및 URL 기록
SOFTWARE\Microsoft\Internet Explorer\TypedURLs (IE/Edge)
SOFTWARE\Microsoft\Edge\TypedURLs (Edge)
SOFTWARE\Mozilla\Mozilla FireFox (FireFox)
SOFTWARE\Google\Chrome\PreferenceMACs (Chrome)

USB 장치 연결 기록
SoftwareMicrosoft₩Windows₩CurrentVersion#Explorer#MountPoints2

최근 사용한 실행 명령어
Software₩Microsoft₩Windows#CurrentVersion#Explorer₩RunMRU

바탕화면 및 개인화 설정
Control Panel₩Desktop

최근 검색 기록
Software₩Microsoft\Windows₩CurrentVersion₩Explorer₩WordWheelQuery