37일차


레지스트리 분석을보면 맨처음 사용자 로그인은 manager이다
guest랑 administrator은 생길때 가장 기본적으로 생성되는 계정

manager = 0000003E8
RID(Relative Identifier): 비교 식별 값 
02 00 01 00 00 00 00 00 F6 C1 
77 AA BC 77 DB 01 00 00 00 00 
00 00 00 00 58 54 D7 7C E4 33 
D6 01 FF FF FF FF FF FF FF 7F 
00 00 00 00 00 00 00 00 E8 03 
00 00 01 02 00 00 14 02 00 00 
00 00 00 00 00 00 29 00 01 00 
00 00 00 00 21 01 00 00 00 00 
F(fixed format): 고정적 형식 
V(Variable format): 유동적 형식
마지막 로그인 시각 : 8~15 00 F6 C1 77 AA BC 77 DB
마지막 패스워드 변경 시각 : 24~31 00 58 54 D7 7C E4 33 D6
마지막 실패 로그인 시각: 40 ~ 47 7F 00 00 00 00 00 00 00
로그온 회수 : 66-67


NTUSER.DAT 분석하기
manager
/home/manager/bashrc
/etc/.profile


설치 날짜 경로 SOFTWARE에서 가져오기
Win7_Manager6-disk001:\Part1\Windows\System32\config\SOFTWARE
Microsoft\Windows NT\CurrentVersion
웹브라우저 히스토리 및 URL 기록
Software\Microsoft\Internet Explorer\TypedURLs (IE/Edge)
Software\Microsoft\Edge\TypedURLs(Edge)
Software\Mozilla\Mozilla FireFox(Firefox)
Software\Google\Chrome\PreferenceMACs(Chrome)
USB 장치 연결 기록
Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
최근 사용한 실행 명령어
Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
바탕화면 및 개인화면 설정
Control Panel\Desktop
최근 검색 기록
Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery

시나리오2
해커가 업로드 기능을 이용해 악성코드를 업로드후 관리자가 파일을 다운로드 받는 경우 분석
1)컴퓨터 부팅은 언제인가
2)누가 접속했는가
manager
3)어디에 접속을 했는가
4)데이터베이스에 접속을 했는가
5)해커가 사이트를 공격했는가
6)공겨했다면 무슨 흔적을 남겼는가
7)흔적들을 관리자가 실시간으로 모니터링 했는가