CFReDS 1~5번

1. What is the image hash? Does the acquisition and verification hash match?

FTK imager를 사용했다.

hash를 검증하는 이유는 이미지를 복사했을 때 그 이미지 파일이 정확한 것인지 확인하기 위해서 hash값을 검증한다.

 

 

verify Drive/Image를 누른다.

 

 

hash값은 AEE4FCD9301C03B3B054623CA261959A이다. hash값이 일치하는 것을 볼 수 있다.

 

2. What operating system was used on the computer?

컴퓨터의 OS를 알려면 레지스트리를 분석해야 한다. 레지스트리 분석을 위해 레지스트리 뷰어 툴을 설치한다. 이후 root\WINDOWS\system32\config의 software를 export한다.

software는 기존 시스템의 정보를 확인할 수 있다.

 

그 다음 software 레지스트리 파일을 레지스트리 뷰어로 연다.

Microsoft\Windows NT\CurrentVersion을 눌러보면

 

컴퓨터에 대한 정보를 얻을 수 있다.

OS는 Windows XP를 사용하고 있다.

 

3. When was the install date?

레지스트리 뷰어로 software 레지스트리를 연다.

software\Microsoft\Windows NT\CurrentVersion을 눌러보면 installDate가 있다.

installDate에 적힌 시간은 유닉스 시간이다.

 

유닉스 시간을 바꿔보면

설치시간은 2004년 8월 19일 22시 48분 27초이다.

GMT는 그리니치 평균시를 의미한다.

• 4번에 의해서 timzone 세팅이 Central Daylight Time으로 되어 있다는 걸 확인할 수 있다.Central Daylight Time은 GMT – 5 이기 때문에 22시 48분 27초가 아닌 17시 48분 27초로 변경된다. 즉 설치시간은 2004년 8월 19일 17시 48분 27초로 된다.

 

4. What is the timezone settings?

FTK Imager로 root\WINDOWS\system32\config의 system 레지스트리를 추출해 낸다.

system 레지스트리는 디바이스 드라이버와 서비스 등 시스템 환경 설정 정보가 들어있다.

레지스트리 뷰어로 system\ControlSet001\TimeZoneInformation를 들어간다.

StandardName은 표준시간의 표준시간대이고, DaylightName은 표준시간의 일광 절약 시간대이다.

StandardName은 전체적인 기준이되는 틀이고 그 안에 세부적으로 DaylightName으로 분류하는 것 같다.

 

DaylightName을 보면 Central Daylight Time으로 설정 되어있다. Central Daylight Time은 UTC보다 5시간 늦는다고 한다.  UTC-5

5. Who is the registered owner?

software\Microsoft\Windows NT\CurrentVersion에 가면 RegisteredOwner를 확인할 수 있다.

RegisteredOwner은 Greg Schardt이다.