DIGITAL FORENSICS:How to Determine the Last Shutdown Time and Date in Windows
หากคุณเป็นผู้ตรวจสอบหลักฐานทางดิจิทัล อาจมีบางครั้งที่คุณจำเป็นต้องทราบประวัติการ ปิดเครื่องของคอมพิวเตอร์ มีหลายวิธี ทำตามขั้นตอนด้านล่างเพื่อดูประวัติการปิดใน Windows เช่น เครื่องมือ Windows ในตัวที่เรียกว่า Event Viewer
Windows Event log.
To find when was a computer last shutdown, check the Event Viewer for the most recent Event ID 1074.
- Run eventvwr.msc to start the Event Viewer.
- In the Event Viewer, expand Windows Logs → System
- Sort the log by Date (descending)
- Click Filter Current Log… on the right pane.
- Add event id:
1074in the Includes list, and enable all event types
Event ID 6005 and 6006
Alternately, you can also look for Event ID 6006 “The Event log service was stopped.” and 6005 “The Event log service was started.” which denotes that a shutdown or a restart event had taken place at the specified time.
Using Windows registry
Windows also stores the last shutdown date and time in a REG_BINARY value named ShutdownTime in the following
ShutdownTime Value = 4A 49 00 25 5C 3D D7 01
Time Decoding Using DCode- DCode™ – Timestamp Decoder You can decode values in the form of Little-Endian Hexadecimal, Big-Endian Hexadecimal, 64-bit Integers, 32-bit Integers, Double-precision floating-point numbers and various text formats.
ShutdownTime Value = 4A 49 00 25 5C 3D D7 01
Working with a forensics image, you can follow the same steps with the image that you’ll have previously mounted as an Item on FTK Imager (or Imager Lite if you prefer).
To do this, you must launch FTK Imager and then click File→Add Evidence Item→Image file and then click on your image.
To extract Registry files you must search in the directory at the path %SystemRoot%\System32\Config, right-click on the file you need them and then select the export option. To extract the System file.
- AccessData Registry Viewer is a program that lets you view the contents of Windows operating system registries.
ShutdownTime Data = 4A 49 00 25 5C 3D D7 01 (30-Apr-21 00:59:59 UTC)
- Registry Recon, developed by Arsenal Recon, is a powerful computer forensics tool used to extract, recover, and parse registry data from Windows systems.
ShutdownTime Data = 4A 49 00 25 5C 3D D7 01 (30 Apr 21 12:59:59 AM UTC)
HOW TO CHECK WINDOWS INSTALL DATE
REF: Windows Registry extraction with FTK Imager
Shutdown Time and Date in Windows
#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
No comments:
Post a Comment