[EnCase] 윈도우 이벤트 로그 분석 (1)

안녕하세요.  도깬리 포렌식스 입니다.

오늘은 윈도우 포렌식 분석의 필수 코스인 윈도우 이벤트 로그에 대해 알아 보겠습니다. 혐의자의 컴퓨터 사용행위를 추적하기 위한 핵심 증거 중에 하나입니다. 자, 시작해볼까요?

 

윈도우 이벤트 로그(Windows Event Log) 분석

 

EVT 형식의 로그 파일

윈도우 Vista 출시 전의 이벤트 로그 파일 포맷입니다.

저장 위치는 \Windows\System32\config\ 입니다.

 

주요 이벤트 로그

System log : SysEvent.EVT

시스템 구성요소의 장애 관련 기록입니다.

 

Application log : AppEvent.EVT

어플리케이션의 작동에 관한 기록입니다.

 

Security log : SecEvent.EVT

로그인, 로그오프 관련 기록, 접근 권한 변경, 시스템 시작 및 종료 등에 관한 기록입니다.

 

EVTX 형식의 로그 파일

윈도우 Vista 이후의 이벤트 로그 파일 포맷입니다.

저장 위치는 \Windows\System32\winevt\Logs\ 입니다.

 

주요 이벤트 로그

System.evtx

Application.evtx

Security.evtx

 

기타 이벤트 로그

Setup.evtx

HardwareEvents.evtx

Internet Explorer.evtx

 

EVT 로그 파일 보기

EVT 파일의 경우, 컴퓨터의 비정상 종료로 인하여, Event Viewer에서 인식 못하는 경우가 발생하기도 합니다.

오류가 나는 경우, EVT 이벤트 로그를 수작업으로 수정하여야 합니다.

해당 이벤트 로그를 내보내기하고, 헥사 에디터로 열어 봅니다.

파일 오프셋 36번 바이트를 조사합니다.

- 값이 홀수이면 해당 이벤트 로그는 Corrupt 된 것입니다.

- 위 바이트 값을 00로 바꾸어 줍니다.

로그의 끝 부분에 해당하는 헥사값 11 11 11 11 22 22 22 22 33 33 33 33 44 44 44 44 를 찾아 그 다음에 오는 16 바이트 값, 그 이후로는 값이 00 이어야 합니다.

수정된 로그 파일을 다시 Event Viewer로 열어 봅니다.

위 과정을 손쉽게 하기 위해서는 EnScript를 사용하기를 권합니다.

- Windows Event Log Export

 

 

EVTX 로그 파일 보기

EVTX 파일의 경우 EVT 보다 더 안전하여, 컴퓨터가 비정상 종료된 경우에도, EVTX 파일을 수정할 필요 없이 그대로 열어 볼 수 있습니다.

 

 

이벤트 로그 필터링하기

 

이벤트 로그 파일 이해하기

가변적인 값 (컴퓨터 이름, 사용자 이름, 날짜/시간 값 등)을 제외하고 특정 이벤트 ID값을 갖는 모든 이벤트의 로그를 이해하여야 합니다.

XML 형식으로 보면 더 자세한 내용을 알 수 있습니다.

 

 

포렌식 관점에서는 특정 이벤트 로그가 실제로는 어떠한 상황에서 기록된 것인지를 알아야 합니다.

대표적인 참조 웹사이트는 https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/ 입니다.

- 윈도우 이벤트 로그에 대하여 신뢰할 만한 정보가 수록되어 있으나, 완전히 신뢰해서는 안됩니다. 

- 즉, 직접 실험을 하여 증명하는 것이 가장 좋습니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Advanced Forensics