Windows 설치날짜 정보 확인 유의 사항
Windows 설치날짜 정보 확인 유의 사항
http://az4n6.blogspot.kr/2017/02/when-windows-lies.html
레지스트리의 설치 날짜는 윈도우 업데이트, 노트북 구매(미리 설치된 OS), 임의 수정 등으로 실제 설치/최초 사용 날짜와 다를 수 있습니다.운영체제 설치 날짜를 명확히 확인하려면 다음 3가지 정보를 상호 검증할 필요가 있습니다.
- 레지스트리 윈도우 설치 날짜
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion (TimeStamp 값으로 저장됨)
예) HexDecimal -> 10진수 변환, 10진수 Timestamp 1333608934 를 Date로 변환
- 볼륨 포맷 날짜
- 계정 생성 날짜
C:\>dir /ah /s /tc ntuser.dat (OS 설치 드라이브에서 실행)
C:\Users\chohb 디렉터리
2012-04-05 오후 03:55 24,903,680 ntuser.dat
C:\Users\Default 디렉터리
2009-07-14 오전 11:34 262,144 NTUSER.DAT
비교
OS 설치 드라이브에서 C\User 폴더의 속성에서 생성일 확인
사용자(Users)\Default 폴더 생성일은 2012-04-05이다
WMIC
C:\>wmic useraccount get caption, name, Fullname, installdate, sid
Caption FullName InstallDate Name SID
chohb-PC\Administrator Administrator S-1-5-21-2610363949-2116855674-2356788
997-500
chohb-PC\chohb chohb S-1-5-21-2610363949-2116855674-2356788
997-1000
chohb-PC\Guest Guest S-1-5-21-2610363949-2116855674-2356788
997-501
WMIC User Account에는 InstallDate 값이 안나온다
C:\>wmic os get installdate
InstallDate
20120405155534.000000+540
SystemInfo
C:\>systeminfo|findstr /i /c:"Original Install Date" /c:"원래 설치 날짜"
원래 설치 날짜: 2012-04-05, 오후 3:55:34
C:\>net user chohb : 계정생성일자 안나옴
사용자 이름 chohb
전체 이름
설명
사용자 설명
국가 코드 000 (시스템 기본값)
활성 계정 예
계정 만료 날짜 기한 없음
마지막으로 암호 설정한 날짜 2015-08-17 오전 10:15:58
암호 만료 날짜 기한 없음
암호를 바꿀 수 있는 날짜 2015-08-17 오전 10:15:58
암호 필요 아니요
사용자가 암호를 바꿀 수도 있음 예
허용된 워크스테이션 전체
로그온 스크립트
사용자 프로필
홈 디렉터리
최근 로그온 2017-03-09 오전 11:50:09
허용된 로그온 시간 전체
로컬 그룹 구성원 *Administrators
*ora_dba
글로벌 그룹 구성원 *None
명령을 잘 실행했습니다.
'Forensic > Disk Forensic' 카테고리의 다른 글
| 바로가기(shortcut)과 lnk의 차이 (0) | 2023.02.14 |
|---|---|
| Windows 10에서의 ShellBags (0) | 2023.02.13 |
| 파일시스템-파일변경분석 (3) | 2020.03.12 |
| 파일시스템-OS기본파일 디지털 서명 및 무결성 검사 (0) | 2020.03.12 |
| 파일시스템-장치드라이버 디지털서명 검사 (0) | 2020.03.12 |
