c0msherl0ck.github.io

data leakage case #12, window event log (system on/off)

Forensic/CFReDS-Data Leakage Case2018. 9. 17. 23:19

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/default.aspx "Windows Security Log Events"


#12. List all traces about the system on/off and the user logon/logoff.

(It should be considered only during a time range between 09:00 and 18:00 in the timezone from Question 4.)

2가지 툴을 이용한 이벤트 로그 분석

1. microsoft message analyzer

2. LogParserStudio_LPSV2.D1


Windows 4624 An account was successfully logged on

Windows 4625 An account failed to log on

Windows 4647 User initiated logoff

Windows 4648 A logon was attempted using explicit credentials

Windows 4608 Windows is starting up

Windows 4609 Windows is shutting down


1. Microsoft message analyzer 를 이용한 이벤트 로그 분석

가. 분석 PC 이벤트 로그를 다음의 경로에서 추출한다.

%systemroot%\System32\winevt


나. Microsoft message analyzer 를 통해 해당 로그를 불러온 후 다음과 같이 필터링 한다.

*eventId == 4624 or *eventId == 4647 or *eventId == 4608 or *eventId == 4609


여기서 보여지는 timestamp 값은, HOST PC 의 timezone 에 해당하는 값으로, Target PC의 Time zone을 적용하기 위해서는 -13 hour 를 하면 된다.



다. 우측상단의 Export 메뉴를 통해, 결과파일을 다음과 같이 .csv 파일로 export 할 수 있다.


export.csv


최초에 export 를 할 경우 한글이 깨져서 나오는데, 다음과 같이 해결한다.

1) export.csv 파일을 메모장으로 연다.

2) 다른 이름으로 저장할 때, 인코딩을 "utf-8" 변경한 후 저장하면, 새로 저장된 .csv 파일은 한글이 깨지지 않는다.

[참고] http://yaraba.tistory.com/512


2. Log Parser Studio 를 이용한 이벤트 로그 분석

가. 분석할 이벤트 로그를 다음과 같이 선택한다. (Choose log files/folders to query)

Add folder 메뉴는 버그로 작동하지 않아, Add files 를 통해 모든 파일을 불러온다.



나. "Create a new query" 를 통해 새로운 질의창을 생성하고, Log Type: EVTLOG 를 선택한다.


다. 다음의 쿼리를 실행한다.

SELECT * FROM '[LOGFILEPATH]'

WHERE (EventID = 4624) OR (EventID = 4647) OR (EventID = 4608) OR (EventID = 4609)

ORDER BY TimeGenerated ASC



라. CSV 파일로 export 한다.


export_2.CSV


마찬가지로 한글이 깨지지만, 메모장으로 연 후 "utf-8" 인코딩으로 다른이름저장하면 한글이 깨지지 않는다.

저작자표시 비영리 변경금지

'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글

data leakage case #14, artifacts of WEB  (0) 2018.09.18
data leakage case #13, Web application check  (0) 2018.09.18
data leakage case #10~11, application install/execution logs  (0) 2018.09.17
data leakage case #9, network interface with IP  (0) 2018.08.10
data leakage case #8, last shutdown date/time  (0) 2018.08.10

티스토리툴바