![]()
이벤트 로그이벤트 로그 : 사용자 로그인, 시스템 시작/종료 등 Windows 운영체제에서 발생하는 다양한 이벤트들을 기록한 파일 💡 이벤트 로그는 악성코드 동작을 알아내기에 유용하다 ! 악성코드는 동작 과정에서 계정을 생성하고, 해당 계정에 높은 권한을 부여하며, 특정 커맨드를 이용해 프로그램을 실행하는 등의 행위를 한다. 이벤트 로그에서 기록하는 시스템 이벤트 - 사용자 계정 생성, 암호변경, 권한 변경- 시스템 로그인 성공, 실패 - 프로세스 시작 및 종료 - 시스템 원격 로그인 - 저장장치 연결 이벤트 로그는 시스템에서 발생한 사용자의 행위를 파악하는 데 중요하다. 또한, 시스템에서 발생한 오류, 보안 결함도 추적 가능하다. 악성코드 침해 사고 발생 시 악성코드가 어떻게 침투했는지, 어떻게 ..
$LogFileNTFS의 저널 로그. 파일 시스템의 메타데이터 변경을 기록. 주로 트랜잭션 단위로 저장됨.$UsnJrnl변경된 파일에 대한 Update Sequence Number (USN) 정보를 저장. 즉, 어떤 파일이 언제 생성/수정/삭제됐는지 히스토리를 남김.$LogFile 이 복구용이라면, $UsnJrnl 은 감시 및 이력 추적용 1. $LogFile - 파일시스템의 저널링(복구용) NTFS가 손상되었을 때 자동 복구를 위한 트랜잭션 🔍 저장하는 정보 예시:파일 생성/삭제 등의 작업 내역어떤 메타데이터를 수정했는지작업을 언제 시작했고 완료했는지 2. $UsnJrnl - 파일 변경 이력 추적용 로그 파일이 언제 생성, 수정, 삭제되었는지 추적하는 용도 (보안/버전관리)- NTFS에서 파일이..
![]()
레지스트리 하이브 : 레지스트리 파일들. 여러 레지스트리 파일들을 모아 마치 하나의 레지스트리 데이터베이스인 것처럼 보여준다. 레지스트리에는 5개의 루트 키가 존재한다.HKCU / HKLM 내에 주요한 사용자 데이터가 많이 저장된다. - 5개의 루트 키는 독립적이지 않음. ex) HKCU는 모든 사용자 정보를 담고 있는 HKU의 하위 키로 존재함- HKCC는 HKLM 과 완전히 동일하지는 않지만, 대부분의 데이터 유사레지스트리 수집 방법 레지스트리는 시스템 파일이기 때문에, 시스템 동작 시에는 복사해올 수 없다. dirty 상태 (사용 중이던 레지스트리가 정리되지 않은 상태로 시스템에 복사된 상태) 아직 쓰여지지 않은 데이터가 존재하고, 이런 데이터들이 LOG1, LOG2 파일에 남아 있다. 따라서..
