무민이의 반반무많이

Time Zone(타임 존) 확인 및 설정 본문

Forensic/EnCase

Time Zone(타임 존) 확인 및 설정

M00min 2016.11.23 22:45

(공감과 댓글 하나는 글쓴이에게 큰 힘이 됩니다.)


■ Time Zone 확인하기 ①

1. 상단 메뉴의 View - Records를 클릭한다.


2. 여기에서 Process Evidence를 통해 얻어온 결과를 확인할 수 있다.


3. 좌측 트리에서 Records\TDurden\Evidence Processor Module Results에 있는 System Info Parser에 들어간다.


4. 좌측 트리에서 Record\SYS\Windows\TDurden(C)\Operating System에 있는 Time Zone을 클릭한다.


5. 해당 이미지의 Time Zone을 확인할 수 있다.


■ Time Zone 확인하기 ②

1. View File Structure의 과정이 끝나면, 좌측 트리에서 Records\TDurden\Registry 옆의 오각형을 눌렀을 때 결과가 표시된다. SYSTEM에 들어간다.

(파일 정보 확인(View File Structure) : http://moomini.tistory.com/114)


2. Regedit의 CurrentControlSet 빼고 모든 목록이 동일한 것을 확인할 수 있다.


3. 좌측 트리에서Select를 선택하고, 하단의 Hex 탭을 클릭한다.


4. 01 00 00 00 값을 블록 지정하고, 마우스 우클릭 - Go To...를 클릭한다.


5. 좌측 트리에서 ControlSet001\Control\TimeZoneInformation에 있는 Bias를 클릭하고, 하단의 Hex 탭을 클릭하고, E0 01 00 00 값을 블록 지정한다.


6. 하단의 Decode 탭의 Integers\32-bit Integer에서 480이라는 값을 확인한다.


7. 마찬가지로 DaylightBias를 선택하고, 하단의 Hex 탭에 표시되는 값을 블록지정 한 후 Decode 탭으로 이동한다. Integers\32-bit integer에서 -60이라는 값을 확인한다. (만약 Summer Time이 없는 경우 ActiveTimeBias도 확인한다.)


■ Time Zone 설정하기

1. 상단의 나침반 모양 아이콘을 클릭하고, Modify time zone settings...를 클릭한다.


2. (UTC-08:00) 태평양 표준시 (미국과 캐나다)를 선택하고, 우측에서 이전에 찾았던 480과 -60이라는 값이 보이는 것을 확인한 후 OK 버튼을 클릭하면, Time Zone이 설정된다.

'Forensic > EnCase' 카테고리의 다른 글

Internet(인터넷) 기록 확인  (1) 2016.11.23
Time Zone(타임 존) 확인 및 설정  (0) 2016.11.23
파일 정보 확인(View File Structure)  (0) 2016.11.23
Process Evidence 실행  (0) 2016.11.21
파일 분석  (0) 2016.11.21
FTK 사용법  (0) 2016.11.08
0 Comments
댓글쓰기 폼