안녕하세요. 도깬리 포렌식스 입니다.
윈도우 이벤트 로그 2번째 시간입니다. 모두 화이팅 하세요!!!
USB의 device identifier는 다음의 아티팩츠에서 발견됩니다.
- SYSTEM.EVTX 이벤트
- USBSTOR 레지스트리 키
- MountedDevices 레지스트리 키
- EMDMgmt 레지스트리 키
- Windows Portable Devices (WPD) 레지스트리 키
- Setupapi.dev.log 파일
Event Correlation – USB Installation Events
USB 관련 이벤트는 SYSTEM.EVTX에 기록됩니다.
Event ID 20001
- USB Driver Install concluded
Event ID 20003
- USB Finished service tunnel for device
Event ID 24576
- Drivers successfully installed
Time Change Events 시간 변경 이벤트
시간 변경에 관한 이벤트는 SYSTEM.EVTX에 기록됩니다.
만약 사용자가 임의로 System clock을 바꾸게 되면, 단일한 Event ID 1 번이 발생하게 됩니다.
시스템 시각이 변경될 경우, 생성 가능한 Event ID는 다음과 같습니다.
Event ID 37
Time provider인 NtpClient가 현재 time.windows.com 으로부터 유효한 데이터를 받고 있음(Receiving Time Data from Server)을 의미합니다.
Event ID 35
Time service가 현재 Time source인 time.windows.com 과 시스템 시각을 동기화 하고 있음(Synching with Time Server)을 의미합니다.
Event ID 1
시스템 시각이 바뀌었음을 의미합니다.
System Restore Points
윈도우 7은 System Restore 및 Volume Shadow Copy 이벤트를 다음의 위치에 저장합니다.
APPLICATION.EVTX
시스템 복원 관련 이벤트 ID는 다음과 같습니다.
Event ID 8194
- 시스템 복원 지점 생성
Event ID 8195
- 시스템 복원 비활성화
Event ID 8196
- 시스템 복원 활성화
Wireless Connection – Windows 7
무선 연결 정보는 레지스트리 뿐만 아니라, 아래의 이벤트 로그에도 기록됩니다.
Microsoft-Windows-Wireless-WLAN-AutoConfig Operational.evtx
무선 연결 관련 Event ID는 다음과 같습니다.
Event ID 8000
- Start Connection
Event ID 11000
- Wireless Association started
Event ID 11001
- Wireless Association succeeded
Event ID 11003
- Wireless Security started
Event ID 11005
- Wireless Security succeeded
Event ID 8001
- WLAN successfully connected
Event ID 8003
- WLAN successfully disconnected
Event ID 11004
- Wireless Security stopped
ReadyBoost Connection
USB 대용량 저장장치를 Memory cache 처럼 사용하여 시스템 속도를 향상시키는 윈도우 7의 기능입니다.
다음의 위치에 관련 Event ID가 저장됩니다.
Event ID 1000
- Device suitable for ReadyBoost cache
Event ID 1004
- Device failed write performance test
Event ID 1005
- Device failed read performance
Event ID 1009
- Device failed – Too small
Event ID 1010
- ReadyBoost cache successfully created
Event ID 1011
- Caching enabled
Event ID 1014
- Caching disabled
Event ID 1015
- ReadyBoost performance Summary
Event ID 1016
- Boot plan calculation competed
Event ID 1017
- Defrag operation complete
Event ID 1018
- ReadyBoost disk assessment completed
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : AD Windows Forensics (Win7)
'FTK' 카테고리의 다른 글
| [FTK] 윈도우 휴지통 분석 (1) (0) | 2022.10.22 |
|---|---|
| [FTK] 윈도우 라이브러리와 홈그룹 등 (0) | 2022.10.20 |
| [FTK] 윈도우 이벤트 로그 분석 (1) (0) | 2022.10.11 |
| [FTK] 윈도우 레지스트리 아티팩츠 분석 (13) - USB장치 (0) | 2022.10.08 |
| [FTK] 윈도우 레지스트리 아티팩츠 분석 (12) - USB장치 (0) | 2022.10.06 |