도깬리포렌식스

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 윈도우 이벤트 로그 분석 두번째 시간입니다. 너무나 방대한 이벤트 로그 !!! 그것의 동작메커니즘과 분석방법만 알면 분석은 의외로 단순하답니다. 직접 실험을 통해 분석의 노하우를 쌓으면 당신도 전문가가 될 수 있어요. EnCase를 사용하여 이벤트 로그 보기 EP --> Modules --> Windows Event Log Parser Records 탭에서 결과를 확인합니다. [Go to file] 옵션을 사용하면, 특정 이벤트 레코드를 포함하고 있는 EVT/EVTX 파일을 연동하여 조사 가능합니다. Case Analyzer를 사용하여 이벤트 로그 분석하기 Tools --> Case Analyzer Constraint 옵션을 사용하여 검색 범위를 조절할 수 있..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 윈도우 포렌식 분석의 필수 코스인 윈도우 이벤트 로그에 대해 알아 보겠습니다. 혐의자의 컴퓨터 사용행위를 추적하기 위한 핵심 증거 중에 하나입니다. 자, 시작해볼까요? 윈도우 이벤트 로그(Windows Event Log) 분석 EVT 형식의 로그 파일 윈도우 Vista 출시 전의 이벤트 로그 파일 포맷입니다. 저장 위치는 \Windows\System32\config\ 입니다. 주요 이벤트 로그 System log : SysEvent.EVT 시스템 구성요소의 장애 관련 기록입니다. Application log : AppEvent.EVT 어플리케이션의 작동에 관한 기록입니다. Security log : SecEvent.EVT 로그인, 로그오프 관련 기록, 접근 권..