Winsdow Logs
Windows 시스템은 응용프로그램 로그, 보안 로그, 시스템 로그와 같은 세가지 로그를 이벤트에 기록하여
OS 구성에 따라 디렉토리 서비스 로그, 파일 복제, 서비스 로그, DNS 서버 로그가 추가될 수 있다.
로그의 이벤트 헤더
날짜 : 이벤트가 발생한 날짜
시간 : 이벤트가 발생한 시간
사용자 : 이벤트를 발생시킨 사용자의 이름
컴퓨터 : 이벤트가 발생한 컴퓨터의 이름
원본 : 이벤트를 기록한 소프트웨어(이벤트가 일어난 프로세스)
이벤트 ID : 해당 원본의 특정 이벤트 유형을 식별하는 번호
범주 : 이벤트 원본에 의한 이벤트 분류로 주로 보안 로그에서 사용
유형 : 이벤트의 심각도를 분류해 오류,정보, 경고, 성공, 감사, 실패 감사로 분류감사 정책
이벤트 로그
- Windows가 동작하는 중 발생하는 상태를 파일에 기록
- Windows 설치 시 기본적으로 구성되어 있다. 단, 보안 이벤트는 설정을 해주어야 한다.
- 응용 프로그램 로그는 응용 소프트웨어에서 프로그래밍 가능함
- Event 로그 파일은 자체 형식을 가지고 있음
- 시간 기록이 로컬 타임으로 저장됨
주요 윈도우 이벤트ID
휘발성 정보 수집
휘발성 데이터 :
시스템의 전원의 공급이 끊기거나 시간이 흐름에 따라 저장 공간에서 사라지는 데이터,
일반적으로 시스템이 켜져 있을 때, 보조기억장치에 해당되는 RAM에 로딩되어 있는 데이터를 가리킴휘발성 데이터를 분석하는 이유 :
시스템 상태를 정확하게 파악할 수 있게 하는데 특히 도움을 주는 데이터
조사 시점에 연결된 네트워크, 조사 시점에 동작 중인 프로세스를 비롯한 각종 사용중인 운영체제의 자원 등은
현장에서 휘발성 데이터를 수집하지 않고는 얻어낼 수 없는 귀한 정보
암호화된 데이터도 사용 직전에는 복호화된 상태로 존재하게 되는 것 처럼
물리 메모리에서는 평문(보호 해제된 혹은 복호화된) 상태의 데이터를 취득할 수 있는 가능성이 매우 높음휘발성 데이터 조사 시 주의사항
시스템에 주는 영향 최소화
신뢰성 있는 도구 사용
신중한 조사(한번 변경된 시스템은 원복할 수 없음)
조사과정 기록(시작시간, 수집 데이터 기록 및 변경 데이터 기록)PsTools 사용
비 휘발성 데이터 :
시스템 전원의 공급이 끊기더라도 사라지지 않고 저장되어 있는 데이터,
휘발성 데이터와 다르게 안정적으로 시스템에 저장되어 있기 때문에 안정적으로 수집 가능Registry 분석
레지스트리 :
레지스트리란 윈도우에서 행해지는 대부분의 작업을 위해
중요한 정보값을 저장하고 참고하는 공간
초창기 윈도우는 구성 및 초기화 파일(ini파일) 을 사용하여
각각의 프로그램이나 운영체제의 설정 정보를 개별적으로 저장함.
문제는 점차 시스템 구성이 복잡해지고 수많은 애플리케이션이 만들어지면서
이러한 개별적인 설정 값을 담고 있는 파일들이 끊임없이 생성되게 되고
시스템 및 사용자에게 심한 부하가 발생, 이러한 문제를 해결하기 위해 레지스트리 개념 도입
하나의 파일 시스템에서 체계적으로 모든 정보를 하나의 저장소에 저장하여 관리레지스트리 구조
키 : 컴퓨터 밑에 각각의 트리 구조로 구성
키들은 각각 여러 개의 하위 키(subkey)를 가지고 있고,
각각의 하위 키들은 개별적으로 또 하위 키나 값(value)를 가지고 있음.
값 : 값의 이름과 함께 값과 관련된 데이터(Data)가 값 저장.
운영체제나 애플리케이션, 서비스 등이 동작할 때 사용하는 환경 설정 값
값에 저장되어 있는 데이터는 여러가지 데이터 타입으로 구분
하이브 : 대부분이 레지스트리 정보는 시스템에 물리적인 파일 형태로 저장.
물리적인 파일을 하이브(hive)라고 하며 확장자가 없는 바이너리 파일로 존재.
대표적인 하이브 파일 (SAM, SECURITY, SYSTEM, SOFTWARE, NTUSER.DAT 등..)
"@____