해결된 질문
작성
·
215
0
안녕하세요.
[공통] 네트워크정보 확인(+한글파일의 내부구조 확인)
강의 수강중 궁금한게 있어 질문드립니다.
1:15:58에
SYSTEMTIME Structure(128bit) (UTC)
SYSTEMTIME Structure(128-bit)의 timestamp를 보면
UTC랑 UTC+9로 같은 시간을 나타내는 것 같은데 (UTC)로 써야하는 이유가 뭔지 궁금합니다!
9시간을 더하지 않은 (UTC)시간이
이미 rega에서 9시간이 더해진 시간이라서 위에꺼를 쓰는건가요?
답변 1
1
안녕하세요 뽀렌식님!
영상의 말씀하신 부분에서 Dcode로 시간 변환을 한 뒤 UTC+9가 아닌 UTC를 봐야한다고 말씀드린이유는
프로그램의 에러로 추정되는 문제 때문입니다.
저도 간만에 영상을 확인하다보니 '내가 왜 저런 이야기를 했을까'에 대해서 한참을 고민했습니다.
네트워크를 다루기때문에 실습파일을 제공하지 않았던 강의인데, 그러다보니 강의에서 확인했던 파일도 현재는 없는 상태여서 원인을 찾아서 정말 하루종일 생각을 해봤는데, 편집 전 영상을 보니
'UTC+9가 아닌 UTC를 봐야한다는점 꼭 기억하세요'라고 말씀드리기 전에
Dcode의 에러로 보인다 라는 말이 실수로 편집되어서 삭제된 상태로 업로드가 되었더라고요.
어쨌든 이 문제에 대해서 설명을 드릴게요
테스트를 위해서 오늘(2024.6.21.) 처음 연결하는 Wifi에 연결한 후에 레지스트리 파일을 수집하고 Rega로 확인을 했습니다.
위 스크린샷이 오늘 처음 접속한 styx라는 profilename의 wifi 입니다.
아래에 DateCreated 와 DateLastConnected가 확인이 되며, 이 중 첫 접속일시를 알수 있는
DateCreated 의 값(E807060005001500140021002600CC03)을 복사해서
Dcode v5.6에 입력하고 디코딩을 하니 아래와 같은 디코딩 결과를 보여줍니다.
현재 타임존은 UTC+9 서울로 설정되어있는 상태이며, 디코딩 결과
Systemtime structure (128-bit) 형식이며 결과를 UTC+0과 UTC+9로 보여주고 있는데,
UTC+0 : 24.6.21. 20:33:38 ~
UTC+9 : 24.6.22. 05:33:38 ~
로 보여주고 있습니다.
UTC+9가 UTC+0에 9시간을 더해서 보여주는건 맞는데, 뭔가 이상한걸 눈치채셨을까요?
한국시간으로 오늘(24.6.21.)이 아닌 내일(24.6.22.) 새벽 5시에 접속을 했다는 결과를 보여주고 있습니다.
결과가 이상해서 혹시 v5.6 버전의 문제인가 싶어 이전버전인 v4.02a 버전으로 동일하게 진행을 해봤습니다
시간대 UTC+9로 미리 잡아주고, 형식은 Windows: 128bit SYSTEM Structure 로 설정한뒤
레지스트리에서 복사한 값을 붙여놓고 Decode를 하니
'24.6.21. 금. 20:33:38.972'로 정상적으로 나오는 것 같습니다.
그런데 혹시나 싶어서 시간대를 UTC+0으로 변경 후에 다시 디코딩을 해봤더니
UTC+9때와 동일한 '24.6.21. 금. 20:33:38.972' 로 결과를 보여줍니다.
다른 형식들은 지금까지 사용하면서 문제를 못느꼈었는데, 유독 System structure 128bit 형식만
문제가 생기는 것으로 봤을때, Dcode 자체에서 이 형식에 대해서 에러가 있는게 아닌가 싶습니다.
이 문제가 언제 고쳐질지는 알 수는 없지만, 관련 문제가 나온다면 Dcode를 쓸 수 밖에 없다보니
이 부분에 대해서 그렇게 안내를 드린건데, 제가 편집을 하면서 실수로 앞의 내용이 누락이 되어
의도치않게 혼란을 드린것 같습니다.
해당영상은 빠른시일내에 자막 등을 추가하여 다시 업로드하도록 하겠습니다.
죄송합니다 !