cgy12306

21. A popular IRC (Internet Relay Chat) program called MIRC was installed. What are the user settings that was shown when the user was online and in a chat channel? uninstall에 들어가서 mIRC에 관련된 정보를 찾아보자. mIRC에 관한 정보는 software\Microsoft\Windows\CurrentVersion\uninstall\mIRC에 있다고한다.Autopsy로 mIRC 폴더에 들어가보자. mirc.ini라는 mirc에 관한 설정파일을 찾을 수 있다. 사용자가 온라인 및 채팅 채널에있을 때 표시되는 사용자 설정이라 하면은 사용자 닉네임이나 ID가 있어야 할 ..

16. Find 6 installed programs that may be used for hacking.autopsy 툴을 이용하여 ‘hacking’이라는 키워드를 검색했다.많은 파일 중 가장 의심이 드는 readme.txt를 선택했다.대체로 readme라는 파일은 어떤 실행파일의 사용법이나 주의사항이 들어있는 파일이다.내용은 너의 사이트를 방어하거나 공격하는 툴이라고 적혀있다.Location을 따라가보자E01\NTFS\My Documents\NOVELL해킹 툴로 추정된다. NTFS\Documents and Settings\Mr.Evil\Desktop\Tools를 보면 lnk파일을 볼 수 있다.lnk파일은 윈도우의 바로가기 파일이다.Ethereal.lnk의 index를 보자글씨가 너무 흐려서 FTK I..

11. Who was the last user to logon to the computer? 다른 계정들은 접속한 시간이 없고, Mr.Evil만 Last Logon Time이 2004년8월27일 15시 8분 23초이다. 이 컴퓨터에 Timezone은 Central Daylight Time으로 설정되어 있으므로 5시간을 빼준 2004년 8월 27일 10시 8분 23초이다. 12. A search for the name of “G=r=e=g S=c=h=a=r=d=t” reveals multiple hits. One of these proves that G=r=e=g S=c=h=a=r=d=t is Mr. Evil and is also the administrator of this computer. What f..

6. What is the computer account name? system 레지스트리에서 ControlSet001\ComputerName\ComputerName을 보면 N-1A9ODN6ZXK4LQ라는 것을 알 수 있다. 7. What is the primary domain name? system 레지스트리에서 Microsoft\Windows NT\CurrentVersion\Winlogon에 가면 DefaultDomainName이 N-1A9ODN6ZXK4LQ인 것을 볼 수 있다. 컴퓨터 이름과 도메인 이름이 같다????뭐지?? primary domain은 주요 계정(메인계정)이라고 한다. 그러면 제일 많이 로그인한 계정을 찾으면 될 것 같다. Logon Count를 보면 Mr.Evil이 횟수가 15번..

1. What is the image hash? Does the acquisition and verification hash match? FTK imager를 사용했다. hash를 검증하는 이유는 이미지를 복사했을 때 그 이미지 파일이 정확한 것인지 확인하기 위해서 hash값을 검증한다. verify Drive/Image를 누른다. hash값은 AEE4FCD9301C03B3B054623CA261959A이다. hash값이 일치하는 것을 볼 수 있다. 2. What operating system was used on the computer? 컴퓨터의 OS를 알려면 레지스트리를 분석해야 한다. 레지스트리 분석을 위해 레지스트리 뷰어 툴을 설치한다. 이후 root\WINDOWS\system32\config의 s..