Windows 시스템은 컴퓨터 이름을 아래 레지스트리에 저장하고 있다. Key: HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName Data: ComputerName Value: volatility의 hivelist 플러그인을 사용해 SYSTEM 하이브 파일이 위치해있는 주소를 알아낸다. printkey를 이용해 SYSTEM\CurrentContolSet 서브키를 들여다보면 ContorlSet001을 심볼릭링크로 가지고 있는 걸 볼 수 있다. CurrentControlSet의 실체는 ControlSetXXX를 가리키는 녀석이다. CurrentControlSet이 아닌 ControlSet001로 가면 컴퓨터 이름을 알 수 있다. 컴퓨터가 사용하..
