Windows Forensics

윈도우 포렌식

Windows Event Logs

개요

  • 컴퓨터에 설치되어 있는 Browser의 정보를 수집하여 사용자의 인터넷 사용 기록을 분석
  • 대부분의 정보는 인터넷 검색을 통해 획득
  • 범행의 계획, 수단, 방법, 처리등의 기록을 획득 할 가능성 존재
  • 사용자의 최근 관심사 등을 획득
  • 자주 사용하는 E-mail, Cloud, SNS 등 정보획득 가능
  • 웹사이트 방문 횟수, 방문 시간, 마지막 방문시간 등 정보 획득

Cache 정보 분석

  • 웹 사이트 접속 시 재방문을 용의하기 하기 위한 파일로써 자동으로 다운로드

  • 이미지파일, 텍스트파일, 아이콘, HTML 파일, Xml 파일, 스크립트 등 웹페이지를 구성하기 위한 데이터를 다양하게 저장

Web History 정보 분석

  • 사용자에게 웹사이트 사용에 관한 편의를 제공하기 위해 제공되는 기능

  • 포렌식 적으로는 사용자가 방문한 사이트의 기록을 수집 가능

Download File List 정보 분석

  • 웹에서 다운로드 받은 파일의 안정적인 전송과 이력관리를 위하여 목록을 관리

  • 사용자가 웹 브라우저를 통해 직접 다운로드 한 파일의 리스트 수집 가능

Web Browser 사용량 조사

1. Google Chrome 분석

  • 1-1. Google Chrome Internet History 분석

    Path : C:\Users\(UserName)\AppData\Local\Google\Chrome\User Data\Default\History

  • 1-2. Database 구조

    • Table Name 중 urls 를 선택하여 사용자의 방문한 URL 주소, 타이틀 이름, 최종 방문 시간을 수집 가능합니다.

좌측 운영체제 카테고리에서 Windows 이벤트 로그 아티팩트 클릭

[증거]테이블의 상단 칼럼 정보를 통해
이벤트 ID, 보안 사용자 ID, 이벤트 데이터 정보를 확인 할 수 있고 우측 [세부 정보]테이블을 통해서도 확인 가능

[세부 정보]테이블의 [증거 정보]- [소스]를 통해서 Windows 이벤트 로그 경로 확인이 가능하고
하이퍼링크를 클릭하면 자동으로 이동

C:\Windows\System32\winevt\Logs

EnCase에서 Windows Event Log 정보 확인
경로는 C:\Windows\System32\winevt\Logs

경로를 찾아 들어가 보면 Windows Event Log의 주요 이벤트 로그
Appliacation.evtx, System.evtx, Setup.evtx, Security.evtx를 확인할 수 있습니다.

각 이벤트 로그들은 Hex View를 통해서 정보를 확인할 수 있습니다.
Appliacation.evtx 는 Windows 소프트웨어를 비롯해서 사용자의 어플리케이션의 이벤트를 저장합니다.

System.evtx는 Windows 시스템에서 기록하는 로그로 서비스 실행 여부나 파일 시스템 필터, 디바이스 오류 등의 정보를 기록합니다.

Security.evtx는 보안 관련된 이벤트 로그만을 기록하고, 보안 관련된 프로그램의 동작을 모니터링 하면서 그 외에도 Windows 로그온, 네트워크 등 다양한 보안 로그들을 기록합니다.

Setup.evtx는 어플리케이션 설치 시 발생하는 이벤트를 기록하고 프로그램이 잘 설치되었는지, 호환성 문제는 없는지 확인 가능 합니다.

%SystemRoot%\System32\Winevt\Logs

[Windows Evtx EventLog]

Windows\System32\Winevt\Log

Windows\System32\Winevt\Log\Security.evtx

Windows\System32\Winevt\Log\System.evtx

Windows\System32\Winevt\Log\Setup.evtx

System\Contrlset00\Services\Eventlog

System\Contrlset00\Services\Eventlog\System

System\Contrlset00\Services\Eventlog\Security

System\Contrlset00\Services\Eventlog\Application