#20250207

SAM 파일의 유저 정보 위치 : SAM\Domains\Account\Users(\Names)

\Users\00000~으로 되어있는 위치에 각각 F와 V라는 파일 존재.
F (Fixed format) : 고정 형식
V (Variable format) : 유동 형식
RID (Relative Identifier) : 비교 식별 값
SID : (000001F4, 00001F5, 000003E8)

000003E8(manager)의 F값 :
02 00 01 00 00 00 00 00 7F 89 7E 6F F4 78 DB 01
00 00 00 00 00 00 00 00 BB B3 B6 27 89 70 DB 01
00 00 00 00 00 00 00 00 C6 F6 79 25 80 73 DB 01
E8 03 00 00 01 02 00 00 14 02 00 00 00 00 00 00
00 00 4F 00 01 00 00 00 00 00 21 01 00 00 00 00

마지막 로그인 시각 : 9~16
(7F 89 7E 6F F4 78 DB 01)
마지막 패스워드 변경 시각 : 25~32
(BB B3 B6 27 89 70 DB 01)
마지막 실패 로그인 시각 : 41~48
(C6 F6 79 25 80 73 DB 01)
로그인 횟수 : 67 ~ 68
(4F 00)


-----

SOFTWARE 레지스트리를 이용하여 window 설치 날짜 확인하기
SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate

NTUSER.DAT 파일 분석
이 파일은 각 계정별로 존재한다.
Win7_Manager6-disk001\Users\

최근 실행한 프로그램 및 파일
Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs


자동 실행 프로그램
Software\Microsoft\Windows\CurrentVersion\Run
(파일없음)

웹브라우저 히스토리 및 URL 기록
Software\Microsoft\Internet Explorer\TypedURLs (IE / Edge)


https://192.168.0.254:4444
http://word.st.kr
http://intra.st.kr
http://st.kr

USB 장치 연결 기록
Software\Microsoft\Windows\CurrentVersion\Explorer\Mo untPoints2


최근 검색 기록
Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery
> 제어판
> cmd