FTK 실무 활용 가이드
- FTK 기본 사용법
- 윈도우 아티팩트 분석
- 데이터 은닉 추적 기법
Windows Event Logs 분석 [ by 김종광 ]
Windows Event Logs 분석
Windows 운영체제에서 발생 된 특정 이벤트를 추적하여 파티션 삭제, USB 접근 등 다양한 증거 수집이 가능합니다.
Windows Event Logs 분석
C:\Windows\System32\winevt\Logs 경로로 이동하면 Eventlog 파일의 리스트를 확인할 수 있습니다.
주요 Eventlog 파일
이벤트 로그 파일 이름 | 설명 |
---|---|
Application.evtx | 소프트웨어를 비롯해서 사용자의 어플리케이션의 이벤트를 기록 |
Security.evtx | 보안 관련된 이벤트 로그, Windows 로그온, 네트워크 등 다양한 로그 기록 |
System.evtx | 서비스 실행 여부나 파일 시스템, 디바이스 오류 등의 정보 기록 |
Setup.evtx | 어플리케이션 설치 시 발생하는 이벤트를 기록하고 프로그램이 잘 설치되었는지, 호환성 관련 정보 기록 |
Windows Event Logs 분석
Eventlog 파일을 확인하기 위해 데이터 보기 형식을 변경합니다.
-
1. Eventlog 파일 선택 (예제에서는 System.evtx 파일 선택)
-
2. 파일보기 형식을 Preview 로 변경
-
3. System 과 관련된 이벤트 리스트 확인 가능
Windows Event Logs 분석
조금 더 큰 화면으로 보기 위해 전용 Viewer 모듈을 활용할 수 있습니다.
-
1. 이벤트 로그 파일 선택
-
2. 마우스 우 클릭
-
3. View 선택
Windows Event Logs 분석
Event Log 목록을 전용 뷰어를 이용하여 분석 가능합니다.