crescendo Registry Problem 01

보통 레지스트리 포렌식을 할때는 파일이 주어지지 않으면 FTK_imager 같은 프로그램으로 dat 파일을 추출한 뒤 REGA를 사용하여 분석 시도를 하게된다.

 

하지만 이번 케이스는 파일을 주어졌으므로 REGA를 사용하여 분석해보기로 하겠다.

 

첫번째 문제인 컴퓨터의 타임존은 SYSTEM 파일 안에 있다. 

 

HKEY_LOVAL_MACHINE\SYSTEM\ControlSet00X\Control\TimeZoneInformation 의 경로에 있다고 생각하면 된다.

 

파일을 분석하니 Eastern Standard Time 에 있다고 나온다.

 

2 번 문제는 컴퓨터에 연결된 적 있던 외부 저장매체의 시리얼 넘버를 찾아야 한다.

 

연결된 외부 저장매체의 흔적은 다음의 경로와 같다.

 

SYSTEM\ContorlSet00X\Enum\USBSTOR

4C532000021221119534&0 의 시리얼 넘버를 가진 파일이 접속한 흔적이 남아있다.

 

UTC를 EST로 설정(동부 표준시) 로 저장한 뒤 시간을 보니 2016-10-23 02:35:06 Sun 이라고 되어있는것을 볼 수 있다.

 

2,3번이 동시에 해결되었다! 라고 생각했지만 REGA에는 저장장치를 따로 보여주는 도구가 있다.

 

시리얼 넘버와 부팅 연결시간이 순서대로 나와있다. 그런데 4C532000021221119534 와 4C532000021221119534&0 이 나뉘어 져있다.

 

4C532000021221119534 는 2016-10-23 02:35:05

 

4C532000021221119534&0 은 2016-10-23 02:35:06

 

그래서 어떤것을 선택해야할지는 잘 모르겠다.

 

만약 답을 선택한다면 EST_4C532000021221119534_2016-10-23 02:35:05 이렇게 쓸거같다.