이벤트 로그 정보는 로컬 시스템에 어떠한 일이 벌어졌는지 판단하게 도와주는 아주 유용한 정보이다. Windows 8 이전 버전에서도 포렌식을 수행 할 때 아주 유용하게 이용 되는 정보이며 Windows 8에서도 역시 마찬가지로 유용하게 이용 되는 정보 중 하나이다. Windows 8의 이벤트 로그 정보는 Windows 7과 Windows Server 2008과 동일한 내부 구조(EVTX)를 가지고 있어 분석하는데 큰 어려움은 존재하지 않는다.
* 참고 : 이벤트 로그는 파일로써 디스크 상에 존재하는데 %SystemRoot%\Windows\\System32\winevt\Logs\ 에 위치하고 있다.
[그림 1 - 이벤트 로그 파일 위치]
중점적으로 봐야 할 이벤트 로그는 System, Security, Application 로그이다. 각 로그에 대한 설명은 다음과 같다.
- System 로그 : 시스템 구성 요소들의 이벤트를 기록하는 이벤트 로그 카테고리이다.
- Security 로그 : 여러가지 보안정책에 관한 이벤트를 기록하는 이벤트 로그 카테고리로 해당 로컬 시스템이 Active Directory 환경의 도메인 컨트롤러일 경우 도메인 컨트롤러 범주에 포함되는 시스템들의 AD 보안 이벤트도 해당 카테고리에 기록 된다. 일반적으로 응용 프로그램들은 해당 로그에 접근 조차 할 수 없으며 오직 시스템 프로세스인 lsass.exe 만이 해당 카테고리에 접근 하여 기록 할 수 있다.
- Application : 시스템 구성 요소를 제외한 응용 프로그램들의 다양한 이벤트들을 기록하는 이벤트 로그 카테고리이다.
실시간 대응이라면 Windows에서 자체적으로 지원하는 이벤트 뷰어로 이벤트를 분석하면 되지만 디스크 이미징 상태로 분석을 시도 한다면 Event Log Explorer 처럼 이벤트 로그 전용 뷰어를 사용 해 분석하면 된다.
[Prefetch]
Windows 8 컨슈머 버전까지는 프리패칭 기능이 활성화 되어 있지도 않았었고 EnablePrefetcher value를 이용한 활성화도 되지 않았었다. 하지만 프리뷰 버전부터는 기본적으로 EnablePrefetcher value가 생성되어 있고 값 또한 3으로 설정되어 있어 프리패칭 기능(부트, 어플리케이션)과 슈퍼패칭 기능 모두 사용한다. 프리패칭 기능으로 생성되는 프리패치 파일과 슈퍼패칭 기능으로 생성되는 슈퍼패치 파일의 저장소는 모두 다음과 같이 동일하며 파일명으로 그 종류를 구분할 수 있다.
- 파일 경로 : %SystemRoot%\Prefetch
- 파일명
1) Prefetch : <실행파일명>-<파일경로 해시(hex) 값>.pf
2) Superfetch : Ag<슈퍼패치 파일명>.db
[그림 17 - 프리패치/슈퍼패치]
프리패치 파일의 구조는 Win Vista/7과 동일하다. 그러므로 새로운 포렌식 도구를 구해 분석을 시도 할 이유는 필요치 않고 기존에 사용 되던 도구로 분석 수행이 가능하다. 하지만 슈퍼패치의 구조는 정확하게 모든 것이 밝혀지지 않은 상태에서 Windows 8에서 그 구조가 조금 바뀌어 현재로서는 문자열을 추출해 분석에 도움이 될 만한 데이터를 추출하는 것이 최선의 분석이다. 프리패치 파일에서 얻을 수 있는 유용한 정보는 다음과 같다.
Windows 8은 Windows Live ID라는 통합 ID로 여러가지 서비스에 접근/이용 할 수 있어 편리하기는 하지만, 그만큼 통합 환경에 존재하는 잠재적인 위협이 많다. 그러므로 분석을 수행 할 시 모든 침해를 판별해 내기 위해 하나의 정보도 소홀히 해서는 안되며 정보 수집 시 꼼꼼하고 신뢰성있게 정보를 수집 해 결과를 도출해 내야 할 것이다.
'[+] Forensic' 카테고리의 다른 글
| 디스크 암호화와 디지털 포렌식 (0) | 2012.07.25 |
|---|---|
| Anti Forensics (4) | 2012.07.20 |
| Windows 8 Forensic Artifact - (5) (0) | 2012.07.01 |
| Windows 8 Forensic Artifact - (4) (0) | 2012.06.30 |
