[인프런] 37. Event Logs ~ 38. VSS 개념 및 실습

37. Event Logs

https://inf.run/oCis9

Event Logs 개념 및 실습 | 기초부터 따라하는 디지털포렌식

 

 

 

 

- 로그란
컴퓨터를 이용한 기록 등이 컴퓨터 내에 남아있는 것

- 이벤트 로그(Event Logs)
Windows 운영체제에서 시스템의 로그를 남기는 방식
이벤트 뷰어(Event Viewer)를 통해 확인할 수 있음
시스템 로그, 응용프로그램 로그, 보안 로그 등이 존재

 

 

 

 

이벤트 로그(Event Logs)
• 응용 프로그램 로그
• 보안 로그
• Setup 로그
• 시스템 로그
• 응용프로그램 및 서비스 로그

 

 

응용프로그램(Application)
• 시스템 구성 요소를 제외한 응용프로그램에서 발생한 이벤트기록 (데이터베이스오류, AV 로그 등)
• 기록할 이벤트유형은 응용프로그램 개발자가 결정

 

보안(Security)
• 파일만들기, 열기 등의 리소스 사용 이벤트 및 로그인성공/실패, 보안정책 변경과 같은 보안이벤트
• 기록할 이벤트유형은 관리자에 의해 변경가능 (유일하게 사용자가 변경가능)

 

 

설치 (Setup)
• 응용프로그램 설치 및 설정과 관련한 이벤트 기록

 

응용 프로그램 및 서비스 로그
• Internet Explorer, Microsoft Office 및 Windows Application 들에서 생성하는 다양한 로그
• Windows Defender(디펜더), Partition Diagnostic(USB 연결 흔적), WLAN Autoconfig(Wifi 연결) 등

 

 

이벤트 로그 경로
• C:\Windows\System32\winevt\Logs

 

 

이벤트 ID
• 각각의 이벤트 로그는 이벤트 ID를 가짐
• 이벤트 ID 별로 나타내는 활동이 유사함
ex) Logon: 4624, Logoff: 4634

 

 

 

 

어떤 이벤트 ID를 찾을 것인가?
• Spotting the Adversary with Windows Event Log Monitoring, NSA (가장추천)
• Windows 10 and Windows Server 2016 security auditing and monitoring reference, Microsoft
• 윈도우 이벤트 로그(EVTX) 분석 및 포렌식 활용방안, 강세림

 

이벤트 ID 검색 사이트
• https://kb.eventtracker.com/
• https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/Default.aspx

 

 

 

 

-실습

 

 

이벤트 ID를 찾아보자!
• 이벤트 뷰어 “사용자 지정 보기 만들기”

 

 

소프트웨어 설치, 업데이트 및 삭제
• 6, 7045, 1022, 1033, 903-908, 800, 2, 19

사용자가 로그인한 시간에 대한 정보 얻음

사용자 로그인
• 4740, 4728, 2732, 4756, 4735, 4624, 4625, 4648

 

 

 

 

 

38. VSS

https://inf.run/8AruD

VSS(Volume Shadow Copy Service) 개념 및 실습 | 기초부터 따라하는 디지털포렌식

 

VSS(Volume Shadow Copy Service)
• 특정한 시각의 파일, 폴더의 복사본이나 볼륨의 스냅샷을 저장해두고 복원할 수 있는 기능

시스템 복원 기능
• 컴퓨터 전체를 복원 지점으로 되돌리기
• 특정 파일/폴더를 이전 버전으로 되돌리기

 

 

- VSS 설정
복원 지점 만들기 검색
구성  →  시스템 보호 사용 설정
구성  →  디스크 공간 설정
만들기  →  시스템 복원

 

 

 

모든 드라이브의 보호 상태가 해제되어 있어서 시스템 복원이 작동하지 않는 상태.

 

 

 

 

시스템 보호 창이 안 열림

 

 

1. 서비스 상태 확인

 

 

 

 

 

2. 서비스가 완전히 제거됐는지 확인

러닝. 재활성화 가능

 

 

3. Windows 기능이 꺼져 있는지 확인

시스템 복원 기능에 직접적으로 필요한 핵심 항목은 전부 켜져 있는 상태

 

 

 

 

 

모르겠음.. 

복원 확인 실습  불가능

 

 

 

-실습

 

VSS 확인
• vssadmin list shadows
• mklink /d <링크폴더> <섀도 복사본 볼륨> \
• 파일 탐색기로 접근하여 확인

 

 

폴더랑 파일 만들고 복원 지점 만든 후 삭제해서 복원 가능한지 볼 수 있음

 

 

 

ShadowExplorer
• https://www.shadowexplorer.com/downloads.html

많은 옛날 정보 복구 가능 

vss 삭제 안 했으면 다 볼 수 있음