data leakage case #4, timezone
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
https://blogs.msdn.microsoft.com/bclteam/2007/06/07/exploring-windows-time-zones-with-system-timezoneinfo-josh-free/
#4. What is the timezone setting?
윈도우에서 timezone information 은 다음의 레지스트리에 존재한다.
HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation
1. CurrentControlSet 파악하기
CurrentControlSet은 현재 로그인한 유저의 세팅값(Hardware profile 등)을 저장하고 있으며, 오프라인 상태에서는 ControlSetXXX을 통해 분석한다. ControlSetNumber는 아래와 같이 HKLM\SYSTEM\Select의 Current Value에 저장되어 있다. 해당 값이 1이라면 ControlSet001을, 2라면 ControlSet002를 분석한다.
2. 시간값 해석하기
HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation 레지스트리 값을 해석하면 다음과 같다.
Bias : 300 minutes
DaylightBias : -60 minutes
ActiveTimeBias = Bias + DaylightBias = 240 minutes
즉, UTC -4 가 timezone setting 값이다.
[주의] UTC 로 해석할때는 - 를 붙인다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #6, all accounts list (0) | 2018.08.10 |
|---|---|
| data leakage case #5, computer name (0) | 2018.08.10 |
| data leakage case #3, OS Information (0) | 2018.08.10 |
| data leakage case #2, partition info (0) | 2018.08.10 |
| data leakage case #1,hash values of image file (0) | 2018.08.10 |
