ForensicUserInfo
둘러보기로 가기
검색하러 가기
소개[편집]
ForensicUserInfo는 woanware에서 무료로 제공하는 사용자 분석 도구이며, 최신 버전은 1.04이다. 본 항에서는 최신버전인 1.04를 기반으로 보고서를 작성하였다. ForensicUserInfo는 GUI 도구로 Windows환경에서 실행이 가능하며, 레지스트리 파일에서 Windows 사용자 정보를 파싱하여 보여준다. 파싱 결과는 CSV, HTML파일포맷으로 저장할 수 있다. ForensicUserInfo 실행 화면은 [그림 1]과 같다.
사용법[편집]
File탭의 Open에서 SAM, SOFTWARE, SYSTEM 레지스트리 파일을 차례대로 선택하면 레지스트리 파일을 분석하여 사용자 정보를 화면에 출력한다. File탭의 Export에서는 출력 결과를 CSV 파일이나 HTML파일포맷으로 저장할 수 있다.
도구 기능[편집]
ForensicUserInfo가 파싱해주는 정보는 [표 1]과 같다.
| 항목 | 설명 |
|---|---|
| RID | 사용자의 RID |
| Login Name | 계정 이름 |
| Name | 사용자 이름 |
| Description | 사용자 설명 |
| User Comment | 사용자 코멘트 |
| Password Required | 비밀번호가 설정돼 있는지 여부 |
| Account Status | 계정이 활성화된 상태인지 사용 불가 상태인지 표시 |
| Last Login Date | 최종 로그인 날짜 |
| Password Reset Date | 비밀번호 변경 날짜 |
| Account Expiry Date | 계정 만료 날짜 |
| Login Failed Date | 로그인 실패 날짜 |
| Login Count | 로그인 횟수 |
| Failed Logins | 실패한 로그인 횟수 |
| Profile Path | 프로파일 경로 |
| Groups | 사용자가 속한 그룹 |
| LM Hash | 비밀번호의 LM Hash 값 |
| NT Hash | 비밀번호의 NT Hash 값 |
제한사항[편집]
ForensicUserInfo는 포터블 버전이 아니라 설치를 해야 한다는 단점이 있다. 또한 Windows XP, Windows 7 레지스트리 파일에 대해서는 결과를 제대로 출력하지만 Windows 8의 레지스트리 파일은 분석하지 못한다.
수사 활용 방안[편집]
ForensicUserInfo는 빠르고 직관적인 도구이기 때문에 Windows XP, Windows 7에서 추출한 레지스트리 파일 수사 시 활용될 수 있다.
