보안일기

Windows 이벤트 로그이벤트 로그 : 로그 파일은 운영 체제나 다른 소프트웨어가 실행중에 발생하는 이벤트 등이 기록되어 있는 파일을 말합니다.그중에서도 Windows 운영체제에서 발생하는 로그들을 중점으로 알아보겠습니다!​왜 분석하는가?시스템과 app상에 이상 현상이 없는지 확인하기 위해서유저의 행동을 분석하기 위해서악의적인 활동은 없는지 분석하기 위해서​이벤트 로그엔 어떤 정보들이 있나요?Windows에서는 .evtx의 확장자를 가진 파일 속에 로그를 저장하게 되는데 다음과 같은 정보들을 포함하고 있습니다.시스템 부팅/셧다운 히스토리로그온/로그오프 기록네트워크 연결 경로저장공간 사용 관련 기록시스템 타임 변경에 대한 기록OS 혹은 App으로 부터의 경고 알림​Windows 기반 로그를 살펴볼때 아래..

오늘은 NTFS 로그와 이를 확인하기 위한 포렌식 툴인 NTFS Log Tracker에 대해 리뷰해보겠습니다.​​NTFS 로그?NTFS는 New Technology FIile System의 약자로 마이크로소프트가 개발한 파일 시스템입니다.여기서 발생하는 로그가 NTFS 로그입니다!이 로그는 다음과 같은 기능을 합니다.저널링 : 파일시스템에서 수행하는 중요 변경사항을 기록합니다.트랜잭션 복구 : 시스템 오류 발생시 트랜잭션 로그를 확인해서 복구할 수 있습니다데이터 무결성 보장 : 기록된 로그를 통해 파일 시스템이 일관적인 상태를 유지할 수 있도록 합니다.​​NTFS 로그의 종류Transaction Log : \$LogFile (오류 발생 시 시스템 복구를 위한 메타데이터 기록)Change : \$Exten..