안녕하세요. 도깬리 포렌식스 입니다.
오늘은 윈도우 7의 이벤트 로그에 대해 살펴 보겠습니다. 가을이 언제 왔나 싶었는데, 벌써 초겨울 느낌입니다. 모두 감기 조심하세요.
Module Objectives
윈도우 이벤트 로그에서의 주요 분석 대상은 다음과 같습니다.
- System shutdown
- USB installation
- System clock changes
- Wireless connections
- ReadyBoost attachments
- System Restore Point creation
Logging Functions
Date 또는 Event ID를 기준으로 정렬하여 분석을 수행합니다.
‘저장된 로그(Saved logs)’를 들여와서(Import) 보는 방법으로 분석을 합니다.
로그는 바이너리 포맷으로 저장되지만, Event Viewer를 이용하여 XML 형식으로 추출할 수 있습니다.
Log Files
이벤트 로그 분석이 유용한 상황은 다음과 같습니다.
- 컴퓨터 사용 여부
- 전원 On/Off 여부
- 시간 변경 여부
- USB 연결 여부
저장 위치는
\Windows\System32\winevt\Logs
확장자 : .EVTX
Windows 7 Event Viewer
명령창에서 ‘eve’ 라고 입력하여 실행합니다.
User Logon/Logoff Event
SECURITY.EVTX 로그에서 확인 가능합니다.
- 로그온 성공 : Event ID 4624
- 로그오프 : Event ID 4647
Shutdown Event
SYSTEM.EVTX 이벤트에서 확인 가능합니다.
- Shut down : Event ID 1074
USB Installation Events
SYSTEM.EVTX 이벤트에서 확인 가능합니다.
관련 Event ID 20001
USB 디바이스와 드라이버를 설치한 날짜를 확인 가능합니다.
해당 장치를 처음으로 연결한 날짜임을 의미합니다.
SYSTEM 레지스트리의 USBSTOR 아래의 서브키의 정보와 매칭됩니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : AD Windows Forensics (Win7)
'FTK' 카테고리의 다른 글
| [FTK] 윈도우 라이브러리와 홈그룹 등 (0) | 2022.10.20 |
|---|---|
| [FTK] 윈도우 이벤트 로그 분석 (2) (0) | 2022.10.13 |
| [FTK] 윈도우 레지스트리 아티팩츠 분석 (13) - USB장치 (0) | 2022.10.08 |
| [FTK] 윈도우 레지스트리 아티팩츠 분석 (12) - USB장치 (0) | 2022.10.06 |
| [FTK] 윈도우 레지스트리 아티팩츠 분석 (11) -USB 장치 (0) | 2022.10.04 |