Digital Forensics/Windows2021. 1. 12. 22:40
반응형
  • Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx
    • 원격데스크톱 연결이벤트를 수신하면 가장 먼저 발생하는 이벤트로 이후에 사용자 인증 진행

 

  • Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx
    • 원격데스크톱 연결의 사용자 인증 완료 진행되는 세션 관련 이벤트

 

  • Microsoft-Windows-TerminalServices-RDPClient%4Operational.evtx
    • 원격데스크톱 연결 요청 이벤트
반응형
Posted by CCIBOMB
Digital Forensics/Windows2021. 1. 11. 22:39
반응형
  • Microsoft-Windows-WLAN-AutoConfig%4Operational.evtx

반응형
Posted by CCIBOMB
Digital Forensics/Windows2021. 1. 11. 22:36
반응형

시스템 시간 변경 관련 이벤트로그

1. 커맨드라인 명령어 

- 방법 : date/time 명령

 

- 이벤트로그 :

system.evtx (ID 1)

 

security.evtx (ID 4616)

 

2. 날짜 및 시간 애플릿

- 방법 : 제어판 -> 날짜 및 시간

 

- 이벤트로그 :

system.evtx (ID 1)

security.evtx (ID 4616)

// dllhost.exe가 변경

 

Microsoft-Windows-DateTimeControlPanel%4Operational.evtx (ID 20000)

// 제어판을 통해 변경한 경우에만 로그가 남음

 

 

3. 날짜 및 시간 윈도우

- 방법 : Windows 설정 -> 시간 및 언어 -> 날짜 및 시간

 

- 이벤트로그 :

system.evtx (ID 1)

security.evtx (ID 4616)

// SystemSettingsAdminFlows.exe가 변경

 

 

4. 시스템 자동 동기화 (by svchost.exe)

반응형
Posted by CCIBOMB
Digital Forensics/Windows2021. 1. 10. 19:24
반응형

이벤트로그 분석 - USB 연결흔적 확인

 

 

USB 연결사실 확인

      • Partition 이벤트로그에서 확인%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-Partition%4Diagnostic.evtx

 

      • 이벤트로그 뷰어를 통해 확인

        - USB  때는 BytesPerSector, Capacity, Partitioncount  정보가 있으나, 

        - 뺄 때 로그에는 해당 정보가 없음(Partitioncount=0)

ㄸㄸ

 

 

예전 윈도우 버전에서는 DriveFrameworks에서 확인 가능하였으나, 현재는 디폴트가 사용안함

 

 

      • MMA 통해 Partition 로그 분석

 

 

  • USB 복사한 파일 확인
    • 단순히 copy/paste 경우 : USB 연결/해제 사실 외에는 확인 불가
    • 일부 파일 열람 또는 윈도우 탐색기 필드 크기 변경 : RecentDoc, LNK, Shellbag 생성시간 정보가 남음

 

※ 참고 : Registry Shellbag

  • 쉘백은 최초로 폴더 열람시 생성
  • 폴더를 생성/복사하는 경우에도 생성
  • (경로)
    • HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags
    • HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
    • HKCU\Software\Microsoft\Windows\Shell\Bags
    • HKCU\Software\Microsoft\Windows\Shell\BagMRU
    • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Streams
    • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StreamMRU

 

  • (참고) BagMRU
    • MRUListEX가 있는데, 이는 최근에 열람한 순서 정보를 유지하고 있음
    • 레지스트리 BagMRU key 시간에는 최초로 생성(최초 폴더 열람)될 때의 시간이 설정됨
    • 폴더 설정 변경 시에는 Bags key 시간이 바뀜
    • 현재 폴더 생성에 의해 상위 폴더의 key 시간이 갱신되면, 레지스트리 key 시간이 갱신됨
    • 폴더 열람 순서를 MRUListEx value로 관리하기 때문
    • -> 현재 폴더의 shellbag 시간은 하위 폴더가 열람됨에 따라 갱신될 수 있음을 의미함

 

반응형
Posted by CCIBOMB
Digital Forensics/Windows2021. 1. 9. 20:20
반응형

이벤트로그 분석 목적

  • 시스템 이상 징후 파악
  • 침해 징후 파악
  • 다양한 포렌식 분석 (시스템 시간변경 여부, 시스템 시작/종료 상태 )

 

이벤트로그 분석 도구

 

Log Parser 2.2

Log parser is a powerful, versatile tool that provides universal query access to text-based data such as log files, XML files and CSV files, as well as key data sources on the Windows® operating system such as the Event Log, the Registry, the file system,

www.microsoft.com

 

     - GUI라서 분석은 편하나, 500MB 넘어가면 동작 안하는 경우가 많음

 

TechNet Log Parser Studio

 

gallery.technet.microsoft.com

 

  •  MMA(Microsoft Message Analyzer) (2019/11/25 에 폐기됨)

     - 이벤트로그, 패킷분석, IIS로그 대부분의 윈도우 생성 로그들을 분석해줌.

     - 기능 아주 좋음! 이벤트 트레이스 로그까지 보여줌

 

  • Sysmon (System Monitor)

     - https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

     - 워낙 강력하다보니 공격자가 설치하여 사용하기도

 

Sysmon - Windows Sysinternals

Monitors and reports key system activity via the Windows event log.

docs.microsoft.com

 

반응형
Posted by CCIBOMB
Digital Forensics/Windows2021. 1. 8. 21:13
반응형

윈도우 이벤트로그(Windows EventLog)

  • 모든 로그를 한 곳에 모으는 중앙집중화 방식으로 윈도우 NT부터 현재까지 사용됨
  • 이벤트로그 경로 : %SystemRoot%\System32\winevt\Logs\*.evtx
  • 윈도우Vista 이후부터 XML 기반의 이벤트로그 포맷변경 (EVT EVTX)
  • 윈도우Vista 이후부터 응용프로그램/서비스로그가 추가됨(300여개이상)

 

 

기본 이벤트로그

  1. 시스템 (System)
  • 윈도우 시스템 구성요소에서 기록한 이벤트 (드라이버 구성요소 로드오류 등)
  • 기록할 이벤트 유형은 미리 결정되어있음
  1. 응용프로그램 (Application)
  • 시스템 구성 요소를 제외한 응용프로그램에서 발생한 이벤트기록 (데이터베이스오류, AV 로그 등)
  • 기록할 이벤트유형은 응용프로그램 개발자가 결정
  1. 보안 (Security)
  • 파일만들기, 열기 등의 리소스 사용 이벤트 로그인성공/실패, 보안정책 변경과 같은 보안이벤트 기록
  • 기록할 이벤트유형은 관리자에 의해 변경가능 (유일하게 사용자가 변경가능)
  1. 설치 (Setup)
  • 응용프로그램 설치 설정과 관련한 이벤트 기록
  1. 전달된 이벤트 (ForwardedEvents)
  • 이벤트 가입을 통해 원격컴퓨터에서 수집한 이벤트를 저장하는데 사용

 

 

추가된 이벤트로그

  1. 응용프로그램 서비스 로그

//  오피스   대화상자로   나타나는   알림까지   기록

 

  1. Microsoft-Windows-<application/component>.evtx
  • 단일 응용프로그램 또는 구성요소의 이벤트를 저장

 

 

이벤트 로그 설정

  1. 주요 이벤트로그 레지스트리 설정 (regedit)
  • HKLM\SYSTEM\ControlSet00#\services\eventlog

 

  1. 감사정책 설정 (gpedit.msc)
  • GPEDIT.MSC → [컴퓨터구성] → [Windows 설정] → [보안설정] → [로컬정책] → [감사정책]

 

  1. 이벤트로그 크기 백업 설정
  • 시스템, 응용프로그램, 보안로그 기본크기 : 20MB
  • 로그 : 1,048 KB 내

 

 

이벤트로그 뷰어

  1. 윈도우 기본 프로그램 (eventvwr)

//  분석관들이 분석시 참고. 이벤트 속성 중 로그된 날짜, 이벤트 ID 정도를 많이 봄

 

이벤트 ID 검색 : https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/Default.aspx, http://eventopedia.cloudapp.net/

 

Windows Security Log Encyclopedia

 

www.ultimatewindowssecurity.com

 

//  대부분의 통합포렌식 프로그램은 이 정보만 보여줌

 

 

이벤트로그 파일 구조

※ 참고 : gflow-security.tistory.com/entry/Windows-Artifact6-EventLog

 

Windows Artifact[6] - EventLog[1]

이번 포스팅에서는 이벤트로그에 대해 알아 보겠으며, 구조, 주요 이벤트 로그에 대해 포스팅을 나눠 알아 보겠습니다. -------------------------------------------------------------------------------------..

gflow-security.tistory.com

// Evtx의 Record 각각 xml 형태로 저장됨

 

 

이벤트로그 복구방법

  1. 이벤트 로그 파일 카빙
  • Windows Event Log” 서비스 종료 파일삭제   파일 생성시간을 통해 삭제여부 확인

 

  1. 이벤트 레코드 카빙
  • “이벤트뷰어”의 “로그지우기” 기능으로 이벤트 삭제   파일은 원본 그대로 유지
  • 이벤트로그를 백업해 두었다가 삭제한 경우

 

  1. 이벤트 로그 카빙 도구
 

kkoha/EvtxCarv

recovers and reconstructs fragmented Evtx files from disk images, memory dumps, pagefiles and unallocated space - kkoha/EvtxCarv

github.com

 

 

이벤트로그 삭제방법

1. 자주 사용하는 이벤트로그 삭제 방식

  • [이벤트뷰어] → [동작] → [로그지우기]
  • wevtutil 명령을 이용한 삭제
    • $> wevtutil { cl |  clear-log }   <LOG_NAME> [/OPTION:VALUE]

 

2. 시큐리티 로그 삭제 이벤트는 시큐리티 로그에 쌓임(ID 1102)

 

3. 시큐리티 로그 모든 로그 삭제 이벤트는 시스템 로그에 쌓임(ID 104)

반응형
Posted by CCIBOMB