사이트에 있는 파일을 모두 FTK Imager에 담았을 때 SCHARDT.001과 4Dell Latitude Cpi.E01이 제대로 load되었다(?)
1. What is the image hash? does the acquisition and verification hash match?
상단 메뉴에서 file > Verify Drive/Image를 누른다. 왼쪽은 SCHARDT.001은 해쉬 매치가 안되었고 오른쪽 CPi.E01은 match라고 뜬다.
2. What operating system was used on the computer? Windows XP
CPi.E01의 properties를 보면 OS가 뜬다. Windows XP이다.
3. When was the install date? 2004-08-20
Windows\System32\config에서 파일을 export해준다(난 걍 모두 다 export했다). registry explorer에서 Software 파일을 불러와서 Microsoft\Windows NT\CurrentVersion을 들어가면 InstallDate가 뜬다.
4. What is the timezone settings? UTC -5
system 파일을 불러와서 select 안 current가 1이므로, ControlSet001을 들어간다. Control\TimeZoneInformation을 들어가면 다음과 같이 나온다. Bias : 360, DaylightBias : -60, ActiveTimeBias가 300. UTC -5이다.
5. who is the registered owner? Greg Schardt
software을 열어서 Microsoft\Windows NT\CurrentVersion를 보면 RegisteredOwner에 Greg Schardt라고 적혀있다.
6. what is the computer account name? N-1A9ODN6ZXK4LQ
System을 열어서 ControlSet001\Control\ComputerName\ComputerName을 확인한다.
7. what is the primary domain name? N-1A9ODN6ZXK4LQ
DefaultDomainName을 읽어준다.
8. when was the last recorded computer shutdown date/time? 2004-08-27 15:46:33
system을 열고 ControlSet001\Control\Windows를 누르면 shutdown time이 보이는 데 data값 우클릭 -> data interpreter를 누르면 Windows 파일time이 나온다.
9. how many accounts are recorded (total number)? 5
SAM\Domains\Account\Users를 가면 계정 목록이 보인다. 5개의 계정이 있다.
10. what is the account name of the user who mostly uses the computer? mr.evil
위 9번 문제에서 체크 옆옆 칸은 total login count를 뜻한다. mr. evil만 15번이다.
11. who was the last user to logon to her computer? Mr. Evil
software\Microsoft\Windows NT\CurrentVersion\Winlogon에 가서 DefaultUserName을 참조한다. 위 그림에서는 Mr. Evil이다.