운영체제 설치 시간 분석(Operating System Install Date Analysis)

운영체제 설치 시간의 포렌식적 의미

 

포렌식적 의미를 바탕으로 보았을때 운영체제 설치 시간은 중요한 역할을 하기도 합니다.

 

용의자가 증거 은폐를 위해서 Format 또는 완전 삭제를 하기 위해서 운영체제를 새로 설치 하는 경우가 있습니다.

자신이 증거를 은폐했다는 사실을 숨기는 경우가 있는데 이때 운영체제 설치 시간이 유용하게 사용할 수 있다.

운영체제 설치 시간이 사건 발생 시간 이후로 변경이 되어 있는데도불구하고 발생 이전부터 계속해서 해당 운영체제를 쭉 사용해 왔다고 할 수 있다.

 

또한 모든 파일은 운영체제 설치 시간 이후의 TimeStamp를 가지고 있어야 하는데 그렇지 않은 파일이 존재 한다면 용의자(사용자)가 의도적으로 운영체제 설치 시간을 수정 했을 가능을 성을 가진다. 하지만 다른 저장매체에서 이미 생성된 파일을 이동 및 복사를 할 경우에는 생성 시간이 운영체제의 시간보다 이전의 TimeStamp을 가지는 경우도 있을 수 있다.

 

운영체제 설치 시간 확인 방법

 

운영체제 설치 시간을 확인 하는 방법은 아래의 2가지와 같습니다.

1. 레지스트리를 이용한 운영체제 설치 시간 확인

2. WMI(Windows Management Instrumentation) 를 이용한 운영체제 설치 시간 확인

 

1. 레지스트리를 이용한 운영체제 설치 시간 확인

여러 운영체제에서의 운영체제 설치 시간을 다루는 레지스트리 키를 확인해 보겠습니다.

 

Windows 98/ME : 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FirstInstallDateTime

 

Windows NT/XP/Vista/7 : 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate

 

Windows 10 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate

 

16진수와 10진수가 존재 하는데 10진수의 값을 가지고 Unix TimeStamp를 알 수 있습니다.

Unix Time Conversion :  http://www.onlineconversion.com/unix_time.htm

 

위의 시간을 확인해 보면 1566686805를 사이트에 넣어보면 아래와 같습니다.

 

Sat, 24 Aug 2019 22:46:45 GMT 라고 되어 있는데 GMT 는 그리니치 천문대 기준 시간입니다.

위의 시간을 UTC+9로 변환을 해주면 Sun, 25 Aug 2019 07:46:45 UTC+9 입니다.

 

2. WMI(Windows Management Instrumentation) 를 이용한 운영체제 설치 시간 확인

WMI의 Win32_OperatingSystem Class를 확인해 보면 InstallDate를 확인이 가능합니다.

 

정확한 Win32_OperatingSystem Class의 세부 사항은 아래의 msdn에서 확인 하실 수 있습니다.

 

Windows NT/XP/Vista/7 :

1. 시작 -> 실행 -> wmic -> os get installdate

2. 시작 -> 실행 -> cmd -> wmic os get installdate

 

 

Windows 10 : 

1. 시작 -> 실행 -> cmd -> wmic os get installdate

2. 시작 -> 실행 -> cmd(관리자 권한) -> systeminfo | find /i "원래 설치 날짜" [영문 Win OS 일때는 systeminfo | find /i "Install Date"]