전체 글 (68) 썸네일형 리스트형 [Crescendo] Registry Problem 01 문제 파일 : REG_001.7z사용한 Tool : REGA.exe문제 : 1. 해당 컴퓨터의 타임존2. 연결된 적 있는 외부 저장매체 시리얼 넘버3. 해당 외부 저장매체의 최초 연결 시각 문제 파일을 보게 되면 6개의 파일이 있는데 문제를 풀기에 필요한 파일은 SYSTEM 레지스트리 파일이다. REGA을 실행시켜 표준시간대를 맞춰준다. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\TimeZoneInformation여기로 가서 타임존을 확인한다. (Eastern Standard Time - EST) 외부 저장장치의 시리얼 넘버과 최초 연결시간을 알기 위해 다시 실행을 시켜 표준시간대를EST로 맞춘다.Eastern Standard Time(EST)는 UTC−05:0.. [Crescendo] WER Problem 03 문제 파일 : WERS.7z사용한 Tool : AppCrashView문제 : 'svchost.exe'와 관계있는 WER의 개수? AppCrashView를 실행(관리자 권한)을 하고Open Report File Folder 눌르면 폴더 창이 뜨는데 요기에 문제파일을 넣는다. 전부다. 그리고 Ctrl + F를 눌러 svchost.exe를 검색한다. Answer : 74 [Crescendo] WER Problem 02 문제 파일 : Report-2.wer사용한 Tool : AppCrashView문제 : 바이너리가 위치한 경로? AppCrashView를 실행(관리자 권한)을 하고Open Report File Folder 눌르면 폴더 창이 뜨는데 요기에 문제파일(Report-2.wer)을 넣는다 넣고 보면 rundll32.exe가 보이는데 "바이너리가 위치한 경로"를 찾는 문제이므로AppPath 부분이 답이 되겠다. Answer : C:\Windows\System32\rundll32.exe [Crescendo] WER Problem 01 문제 파일 : Report.wer사용한 Tool : AppCrashView문제 : 본 WER이 발생한 시간? 문제를 풀기전 wer에 대해서 간단히 설명하면 참조https://blogs.msdn.microsoft.com/noenemy/2009/02/25/windows-error-reportingwer/ Windows XP 이후로 시스템이 비정상 종료된 이후에 다시 부팅을 하면 '오류로 부터 복구 되었는데 이를 보고하겠느냐'라는 메시지 박스가 뜨는 것을 볼 수 있습니다.이 기능을 이용해서 사용자들로부터 수집된 오류 데이터를 이용해서 어떠한 문제로 사용자들이 불편을 겪고 있는지, 그 문제가 어떤 모듈에서 발생을 한 것인지 확인하고 발생 빈도가 높은 문제는 긴급한 이슈로 인식하고 문제를 수정하고 hotfix가 .. [Crescendo] Crash Dump Problem 01 파일을 다운받아서 보면 explorer.exe.2160.dmp가 보인다.사용한 Tool은 WinDbg를 사용하였다. "Explorer.exe가 크래시를 발생시키는데 발생하는 이유를 Exception Code에 기반한 Error 이름"을 찾는 문제다.WinDbg를 열어서 open Crash Dump를 클릭하여 explorer.exe.2160.dmp 파일을 연다. 새창이 뜨면 [!analyze -v] 명령어를 입력한다. PROCESS_NAME이 explorer.exe 인곳에 EXCEPTION_CODE를 보게되면 0xC0000005 이라는 것을 알수있다. Exception code를 검색해서 보면 Access Violation인 것을 확인할수 있다.Access Violation(엑세스 위반)은 프로세스가 접근.. [Crescendo] Web History Problem 01-2 파일을 다운받아 압축을 풀면 index.dat 파일이 보인다.사용한 Tool은 WEFA를 사용하였다. "키워드 개수와 IE를 이용하여 열람한 파일의 개수"를 찾는 문제다.검색정보에 들어가서 개수를 세면 15개 (중복은 신경쓰지 않는다고 한다.) 로컬파일 열람에 들어가서 개수를 세면 19개 Answer : 15-19 [Crescendo] Web History Problem 01-1 파일을 다운받아 압축을 풀면 제일 처음에 보이는 index.dat 파일이랑 폴더 4개가 보인다.사용한 Tool은 index.dat Analyzer를 사용하였다. "TeamViewer 설치파일을 다운 받은 시간"을 찾는 문제다. 설치 파일이기 때문에 TeamViewer_Setup.exe를 찾으면 될꺼같다.제일 처음에 있는 index.dat 파일을 열어서 필터를 Teamviewer를 걸고 확인해보니 바로나왔다. Answer : 2016.09.19-15:27:26 [Crescendo] IconCache Problem 01 파일을 다운받아 압축을 풀면 IconCache 파일이 보인다.사용한 Tool은 Winhex를 사용하였다. "D씨가 실행한 데이터 삭제 프로그램의 이름"을 추출 하는문제다,프로그램이라는 말에 실행파일을 생각을 해서 exe를 검색해서 몇개를 보다보니 답이 나왔다. IconCache는 사용자 컴퓨터 및 외부 저장매체에서 열람 및 실행한 응용프로그램들의 아이콘 캐시정보를 저장하고있다. 인터넷에서 다운 받는 경우에는 열람하지 않더라도 바로 캐시됨 Answer : f:\mytools\diskwipe.exe 이전 1 2 3 4 5 6 ··· 9 다음
