윈도우에서 OS의 설치시간은 레지스트리 분석을 통해 확인할 수 있다.
기본 시스템 정보가 저장된 레지스트리 경로는 다음과 같다.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
운영체제 이름, 사용자 이름, 조직 이름, 세부 버전, 운영체제 설치 날짜 (유닉스 32bit Big Endian), 운영체제 설치 루트 폴더 등의 정보가 있다.
그런데 케이스 분석 도중 NTFS에서 지원하는 주요 MFT Entry의 생성 시간이 운영체제 설치 시간보다 수 시간 정도 늦다는 것을 확인했다.
운영체제 설치 시간인 2013년 8월 25이 18:12:39 (실제 설치한 시간은 이 시간이었음)인 반면 $MFT와 같은 NTFS 주요 파일들의 생성, 수정, 접근 시간은 2013년 8월 26일 03:01:28 로 약 9시간 정도 앞서있었다.
UTC에 대해서 아는 사람이라면 UTC +12:00 이 후의 시간은 존재하지 않다는 것을 금방 안다. $MFT는 UTC +18:00 이라는 말도 안되는 때에 생성된 것으로 기록돼있다.
분석 후 원인을 추정해본 결과는 다음과 같다.
UTC가 계산이 된 기준 시간(UTC +9:00)을 OS 설치 시 UTC의 기준 시간으로 생각하여 한 번 더 +9:00 계산을 하여 기록한 것이다. 따라서 Windows XP OS를 분석할 때, $MFT처럼 OS 설치 시 기본적으로 생성되는 파일들의 Created time은 대상이 있던 지역의 Timezone를 고려해 UTC를 재조정해야 한다.
결론적으로 분석 시 정확한 설치시간은 레지스트리 값에 있고, $MFT 생성시간과의 차이는 UTC를 고려하면 된다.
이 후에 등장한 Vista, 7 등에서는 이런 현상이 나타나지 않았다.