SAM 파일의 유저 정보 위치 : SAM\Domains\Account\Users(\Names)

\Users\00000~으로 되어있는 위치에 각각 F와 V라는 파일 존재.
F (Fixed format) : 고정 형식
V (Variable format) : 유동 형식
RID (Relative Identifier) : 비교 식별 값
SID : (000001F4, 00001F5, 000003E8)
000003E8(manager)의 F값 :
02 00 01 00 00 00 00 00 7F 89 7E 6F F4 78 DB 01
00 00 00 00 00 00 00 00 BB B3 B6 27 89 70 DB 01
00 00 00 00 00 00 00 00 C6 F6 79 25 80 73 DB 01
E8 03 00 00 01 02 00 00 14 02 00 00 00 00 00 00
00 00 4F 00 01 00 00 00 00 00 21 01 00 00 00 00
마지막 로그인 시각 : 9~16
(7F 89 7E 6F F4 78 DB 01)
마지막 패스워드 변경 시각 : 25~32
(BB B3 B6 27 89 70 DB 01)
마지막 실패 로그인 시각 : 41~48
(C6 F6 79 25 80 73 DB 01)
로그인 횟수 : 67 ~ 68
(4F 00)
-----
SOFTWARE 레지스트리를 이용하여 window 설치 날짜 확인하기
SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate
NTUSER.DAT 파일 분석
이 파일은 각 계정별로 존재한다.
Win7_Manager6-disk001\Users\
최근 실행한 프로그램 및 파일
Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
자동 실행 프로그램
Software\Microsoft\Windows\CurrentVersion\Run
(파일없음)
웹브라우저 히스토리 및 URL 기록
Software\Microsoft\Internet Explorer\TypedURLs (IE / Edge)
https://192.168.0.254:4444
http://word.st.kr
http://intra.st.kr
http://st.kr
USB 장치 연결 기록
Software\Microsoft\Windows\CurrentVersion\Explorer\Mo untPoints2
최근 검색 기록
Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery
> 제어판
> cmd