#20250206
리눅스 > 로그
윈도우 > 이벤트, 레지스트리, 약간의 로그
로 분석한다.
---
Win7manager의 해시값?
Exterro FTK Imager 프로그램 이용
상단 메뉴 - Add Evidence Item > Image File > win7_Manager6-disk001.vmdk > Finish
좌측 상단 Win7_Manager6-disk001.vmdk 우클릭 > Vertify Drive/Image
MD5 hash : 91c364737f58a3cfc4f2c3394a3d7fdb
SHA1 hash : 11cde220ec417edf8c6b637e0b9d3adfef0d2a54
------
Partition 2 > NONAME [NTFS] > [root] > Windows > System32 > config
5개의 레지스트리 파일 확인.
-SAM
-SECURITY
-SOFTWARE
-SYSTEM
-DEFAULT
각 파일을 우클릭 해서 export file을 시킨다.
5개의 파일을 이용하여 아래의 다섯개 항목을 분석하는 파이썬 프로그램 코딩.
1) 컴퓨터 부팅 시간
2) 진짜 사용자
3) 어떤 사이트에 접속했는지
4) 어떤 파일을 다운로드 했는지
5) 파일을 실행했는지
---
아나콘다 설치
아나콘다 : 파이썬 가상환경 프로그램
다양한 파이썬 버전을 가상환경을 만들어서 확인할 수 있다.
Anaconda PowerShell Prompt 실행
가상환경 생성
conda create -n py38 python=3.8
확인
conda env list
가상환경 진입
conda activate py38
윈도우 > 이벤트, 레지스트리, 약간의 로그
로 분석한다.
---
Win7manager의 해시값?
Exterro FTK Imager 프로그램 이용
상단 메뉴 - Add Evidence Item > Image File > win7_Manager6-disk001.vmdk > Finish
좌측 상단 Win7_Manager6-disk001.vmdk 우클릭 > Vertify Drive/Image
MD5 hash : 91c364737f58a3cfc4f2c3394a3d7fdb
SHA1 hash : 11cde220ec417edf8c6b637e0b9d3adfef0d2a54
------
Partition 2 > NONAME [NTFS] > [root] > Windows > System32 > config
5개의 레지스트리 파일 확인.
-SAM
-SECURITY
-SOFTWARE
-SYSTEM
-DEFAULT
각 파일을 우클릭 해서 export file을 시킨다.
5개의 파일을 이용하여 아래의 다섯개 항목을 분석하는 파이썬 프로그램 코딩.
1) 컴퓨터 부팅 시간
2) 진짜 사용자
3) 어떤 사이트에 접속했는지
4) 어떤 파일을 다운로드 했는지
5) 파일을 실행했는지
---
아나콘다 설치
아나콘다 : 파이썬 가상환경 프로그램
다양한 파이썬 버전을 가상환경을 만들어서 확인할 수 있다.
Anaconda PowerShell Prompt 실행
가상환경 생성
conda create -n py38 python=3.8
확인
conda env list
가상환경 진입
conda activate py38