본문 바로가기

Forensics96

[Windows Forensic Artifacts - 2] Prefetch 윈도우 프리패치 - 윈도우 XP부터 운영체제에서 제공하는 메모리 관리 기법 중 하나 메모리 관리 기법에는 프리패치 외에 가상 메모리, 슈퍼패치, 레디부스트가 있다. - 실행파일을 메모리로 로딩 시 효율을 올리기 위해 개발 컴퓨터에 장착된 드라이버와 서비스, 폴더 정보, 어플리케이션 정보 등을 미리 읽음 -> 사용자가 파일을 실행할 경우 미리 저장된 정보를 메모리에서 실행하여 실행 속도를 향상 -> 즉, 응용 프로그램을 빨리 실행시키기 위해 이전에 사용했던 정보를 저장, 불러오기를 통해 속도를 높인다. (인터넷 브라우저 캐시와 비슷) - 응용 프로그램의 이름, 실행 횟수, 마지막 실행 시간, 볼륨 정보 등 저장 Layout.ini 파일에는 프리패치 파일에 대한 목록 저장 - 윈도우 부팅, 응용 프로그램 시.. 2022. 4. 3.

[crescendo] Event Log Problem 03 인가되지 않은 클라우드 공유 프로그램의 설치 흔적을 발견했다고 한다. 제공된 이벤트 로그는 다음과 같다. 구하려고 하는 정보에 따라 봐야할 이벤트 로그가 무엇인지 알 필요가 있을 것 같다. 1번부터 살펴보자. 1번은 설치된 비인가 프로그램의 실행파일 이름이다. 프로그램에 대한 정보를 봐야하므로 Application.evtx를 살펴보자. 비인가 프로그램 중에서도 클라우드 공유 프로그램이라는 것을 잊지말자. 저번에도 이벤트 로그를 살펴볼 때 사용한 툴인 Event Log Explorer을 통해 열어보았다. 오른쪽 스크롤을 보면 되게 많은 event들이 있는 것을 확인할 수 있다. 이벤트 id 11707은 프로그램이 정상 설치 된 기록을 확인할 수 있다. 실행을 했으니 정상설치 되었을 것이라 생각되어 필터링을.. 2022. 4. 3.

[crescendo] Event Log Problem 02 보안 정책 상 접근이 허용되지 않은 부서의 IP로부터 접속 흔적을 발견했다고 한다. 1번부터 살펴보자. 1번은 첫 번째 원격 로그인 성립 시점을 구하라고 한다. 원격 로그인 접속 로그 확인은 이벤트 ID 중에서 21 : 세션 로그온 성공 25 : 세션 다시 연결 성공 을 사용하여 필터링 하면 된다. 그래서 해봤는데 안나왔다. 이게 아닌가보다. 다른 자료를 더 살펴보니, 로그온 유형 중 10번이 원격 로그온을 나타내는 것을 찾을 수 있었다. 로그온 유형 로그온 제목 설명 10 RemoteInteractive 사용자가 터미널 서비스 또는 원격 데스크톱을 사용하여 원격 로그온 로그온 유형을 살펴보기 위해 로그인 이벤트만 필터링 해야겠다. 로그인 이벤트 중 성공적으로 로그인 된 것은 ID 4624로 필터링 할 .. 2022. 4. 1.

[Windows Forensic Artifacts - 1] Event Log 윈도우 아티팩트들에 대해 차례대로 정리해보려고 한다. 아티팩트는 소프트웨어가 동작하면서 자동으로 생성한 흔적을 표현하기 위한 용어이다. 쉽게 흔적이라고 생각하면 된다. 윈도우 아티팩트는 윈도우 운영체제에서 소프트웨어들이 동작하면서 남긴 흔적들을 의미한다. 첫 스타트는 이벤트 로그인데, 이벤트 로그가 무엇인지 살펴보자. 윈도우 이벤트 로그 - 윈도우 시스템이 동작하는 과정에서 발생하는 특정 이벤트들을 종합적이고 체계적으로 로그 기록 [시스템의 성능, 오류, 경고 및 운용정보 등의 중요정보 기록 - 침해사고 대응에 더 유용] - 대부분의 기록을 담당 [시스템 on/off, 원격 네트워크 연결, 응용 프로그램 동작 여부, 시스템 관련 전반적인 모든 것] - 기록된 로그들은 각각 이벤트 ID 할당 [이벤트 ID.. 2022. 4. 1.

이전 1 2 3 4 5 6 7 8 ··· 24 다음

728x90

티스토리툴바