DIGITAL FORENSICS:How to Determine the Last Shutdown Time and Date in Windows II

How to Determine the Last Shutdown Time and Date in Windows II

หากคุณเป็นผู้ตรวจสอบหลักฐานทางดิจิทัล อาจมีบางครั้งที่คุณจำเป็นต้องทราบประวัติการ ปิดเครื่องของคอมพิวเตอร์  ตัวอย่างที่ 2 

Using Windows  registry

Windows also stores the last shutdown date and time in a REG_BINARY value named ShutdownTime in the following

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows\ShutdownTime

ค่าการปิดเครื่องครั้งล่าสุด (Shutdown Time) ของระบบปฏิบัติการ Windows

ShutdownTime Value = 7F A2 3A F1 36 C5 D4 01  

1. ตัวอย่าง โปรแกรม Registry Viewer

เปิดไฟล์ Software โดยโปรแกรม Registry Viewer  พบว่าค่า วัน 

Last Written Time = 2/15/2019 14:01:26 UTC

2. Convert FILETIME timestamps to human-readable date (hxxps[:]//www[.]epochconverter.com/ldap)

ค่า 7F A2 3A F1 36 C5 D4 01 ถ้าเป็น Windows FILETIME (Little-Endian)
ต้องกลับ byte ก่อน จะได้: 01 D4 C5 36 F1 3A A2 7F

= 0x01D4C536F13AA27F 

 เมื่อแปลงจาก FILETIME   จะได้เวลาเป็น:

GMT: Friday, February 15, 2019 2:01:26 PM

อ่านเพิ่มเติม:

• How to Determine the Last Shutdown Time and Date in Windows
• Big endian VS Little endian

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud