도깬리포렌식스

안녕하세요. 도깬리 포렌식스 입니다. 윈도우 이벤트 로그 2번째 시간입니다. 모두 화이팅 하세요!!! USB의 device identifier는 다음의 아티팩츠에서 발견됩니다. - SYSTEM.EVTX 이벤트 - USBSTOR 레지스트리 키 - MountedDevices 레지스트리 키 - EMDMgmt 레지스트리 키 - Windows Portable Devices (WPD) 레지스트리 키 - Setupapi.dev.log 파일 Event Correlation – USB Installation Events USB 관련 이벤트는 SYSTEM.EVTX에 기록됩니다. Event ID 20001 - USB Driver Install concluded Event ID 20003 - USB Finished servi..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 윈도우 7의 이벤트 로그에 대해 살펴 보겠습니다. 가을이 언제 왔나 싶었는데, 벌써 초겨울 느낌입니다. 모두 감기 조심하세요. Module Objectives 윈도우 이벤트 로그에서의 주요 분석 대상은 다음과 같습니다. - System shutdown - USB installation - System clock changes - Wireless connections - ReadyBoost attachments - System Restore Point creation Logging Functions Date 또는 Event ID를 기준으로 정렬하여 분석을 수행합니다. ‘저장된 로그(Saved logs)’를 들여와서(Import) 보는 방법으로 분석을 합니다. 로..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 윈도우 포렌식 분석의 필수 코스인 윈도우 이벤트 로그에 대해 알아 보겠습니다. 혐의자의 컴퓨터 사용행위를 추적하기 위한 핵심 증거 중에 하나입니다. 자, 시작해볼까요? 윈도우 이벤트 로그(Windows Event Log) 분석 EVT 형식의 로그 파일 윈도우 Vista 출시 전의 이벤트 로그 파일 포맷입니다. 저장 위치는 \Windows\System32\config\ 입니다. 주요 이벤트 로그 System log : SysEvent.EVT 시스템 구성요소의 장애 관련 기록입니다. Application log : AppEvent.EVT 어플리케이션의 작동에 관한 기록입니다. Security log : SecEvent.EVT 로그인, 로그오프 관련 기록, 접근 권..