[EnCase] 윈도우 이벤트 로그 분석 (2)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 윈도우 이벤트 로그 분석 두번째 시간입니다. 너무나 방대한 이벤트 로그 !!! 그것의 동작메커니즘과 분석방법만 알면 분석은 의외로 단순하답니다. 직접 실험을 통해 분석의 노하우를 쌓으면 당신도 전문가가 될 수 있어요.

 

EnCase를 사용하여 이벤트 로그 보기

EP --> Modules --> Windows Event Log Parser

Records 탭에서 결과를 확인합니다.

[Go to file] 옵션을 사용하면, 특정 이벤트 레코드를 포함하고 있는 EVT/EVTX 파일을 연동하여 조사 가능합니다.

 

 

Case Analyzer를 사용하여 이벤트 로그 분석하기

Tools --> Case Analyzer

Constraint 옵션을 사용하여 검색 범위를 조절할 수 있습니다.

Security 이벤트 로그에서 이벤트 ID 4616은 시간정보 변경(동기화)에 관한 이벤트입니다. 

 

 

Save Selected 옵션을 사용하여 검색 결과를 저장할 수 있습니다.

 

 

Managed Saved Reports 옵션을 사용하여 선택된 부분에 대한 보고서를 생성합니다.

 

 

삭제된 EVT 이벤트 로그 복구하기

이벤트 로그 레코드의 시그너처는 0x4C664C65 (LfLe) 입니다.

EnScript를 이용하여 이벤트 로그 레코드를 복원할 수 있습니다.

- Search Selected Entries For EVT Event Log Files

- 주로 비할당 클러스터를 대상으로 이벤트 레코드를 복원합니다.

 

 

삭제된 EVTX 이벤트 로그 복구하기

EVTX 로그 파일은 헤더 블록과 데이터 블록으로 구성됩니다.

 

헤더 블록

4,096 바이트 크기입니다.

시그너처는 ElfFile 입니다.

 

데이터 블록

65,536 바이트 크기의 하나 이상의 블록을 가집니다.

시그너처는 ElfChnk 입니다.

 

EVTX 로그 파일은 시그너처가 0x2a2a0000 (2개의 별표 바로 다음에 2개의 null 값이 옴) 입니다.

EnScript를 사용하여 EVTX 이벤트 레코드를 복원할 수 있습니다.

- EVTX Log Entry Finder EnScript

- 완전한 데이터 블록을 찾으면, 가상의 EVTX 파일을 만들어 줍니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Advanced Forensics