CFReDS 5~10번

6. What is the computer account name?

system 레지스트리에서 ControlSet001\ComputerName\ComputerName을 보면

N-1A9ODN6ZXK4LQ라는 것을 알 수 있다.

 

 

7. What is the primary domain name?

system 레지스트리에서 Microsoft\Windows NT\CurrentVersion\Winlogon에 가면 DefaultDomainName이 N-1A9ODN6ZXK4LQ인 것을 볼 수 있다.

컴퓨터 이름과 도메인 이름이 같다????뭐지??

• primary domain은 주요 계정(메인계정)이라고 한다.

그러면 제일 많이 로그인한 계정을 찾으면 될 것 같다.

 

Logon Count를 보면 Mr.Evil이 횟수가 15번으로 가장 많이 로그인한 계정이므로 primary domain이다.

 

 

 

8. When was the last recorded computer shutdown date/time?

 

system레지스트레이서 ControlSet001\Control\Windows의 ShutdownTime이 있다.

hex값을 시간으로 변환해주는 Dcode 툴을 사용하자.

 

시간은 2004년 8월 27일 15시 46분 33초이다. 하지만 이건 UTC +0이다.

지난번 4번에서 Timezone 세팅을 봤을 때 Central Daylight Time으로 나와 있었다.

CDT는 UTC보다 5시간 늦기 때문에 최종시간은 2004년 8월 27일 10시 46분 33초이다.

 

 

 

9. How many accounts are recorded (total number)?

 

SAM 레지스트리에서 SAM\Domains\Account\Users아래에 5개의 계정이 있는 걸 볼 수 있다.

 

 

10. What is the account name of the user who mostly uses the computer?

 

주로 사용되는 계정을 물어본다. 7번에서 Mr.Evil로 나왔으니 답은 Mr.Evil이다.