일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
Tags
- 디지털포렌식 with CTF
- 는 하지마...
- 포렌식
- 네트워크관리사2급
- Multimeida
- 2022시작
- network
- 디지털포렌식
- 생활코딩
- 정보처리기사 필기 합격
- ftz
- 실기
- 윈도우 프로세스
- CTF-D
- 생활코딩 html
- 슬퍼유
- N0Named
- 윈도우 프로세스 종류
- slack space
- ZIP 파일구조
- Window process
- html
- 24시간의 전사
- memory
- disk
- 네트워크 보안
- Multimedia
- pythonchallenge
- blkls
- vinetto
Archives
- Today
- Total
ssoL2 TISTORY
[Whois] 포렌식 교육 4주차 공부 / 보고서 작성/Windows eventlog/Veracrypt 본문
공부 1. 보고서 특강 2. Windows eventlog 가 무엇인지, 어디에 저장되는지 등 3. veracrypt를 한 번 사용해 보세요. |
1. 보고서 특강
디지털 포렌식 분야에서 보고서 작성의 비중이 높다. 어떤 대회는 점수 비중이 50%나 될 정도로..
보고서의 전체적인 구성은 다음과 같다.
1) 문제 내용
2) 사용한 도구 목록 (툴 이름, 발행자, 버전, URL)
3) 수집한 아티펙터 목록 ($MFT, $UsnJrnl$J 등)
4) PC 환경 (운영체제, Bit, ReleaseId, IP 주소)
5) 사용기록 타임라인
-> 위에 수집한 아티펙터를 기준으로 시간 순으로 내용이 기록되며, 파일 생성 기록은 NTFS Log Tracker를 사용함
6) 문제 풀이 Writeup <핵심>
7) reference (참고자료)
- PC 환경 정보는 여러모로 유용함
- -> 문제 풀이 과정에서 환경 정보 버전으로 취약점에 영향을 줄 수 있기 때문
- 또한, 웹 문제에서도 오래된 버전이면 공격 가능하므로 PC 환경을 활용합시다.
- 디지털 포렌식 문제에서 악성코드 찾아내는 과정이 분석하는 리버싱 과정과 연결됨
- 리버싱 스킬도 어느정도 필요로 함
2. Windows eventlog 가 무엇인지, 어디에 저장되는지 등
WINDOWS EVENTLOG
- Windows eventlog : Window의 로그를 '이벤트 로그'라고 부르며, 윈도우에서 일어나는 일을 분야별로 나눠 기록
- 성능, 오류, 경고 및 운영 정보 등의 중요 정보 기록
- 운영체제의 버전 별로 형태와 경로가 다름
- Windows10 기준 경로 \WindowSystem32\winevt\Logs / 확장자 .evtx
- 로그 확인은 직접 경로 탐색 혹은 이벤트뷰어콘솔(eventvwr.msc)로 확인
- 이벤트뷰어의 로그파일 중 가장 일반적인 로그파일은 응용프로그램, 시스템, 보안, 설치 총 네 가지
- 1. 응용프로그램 로그 : 응용프로그램이 기록한 다양한 이벤트로, 기록되는 이벤트는 제품 개발자에 의해 결정됨
- 예를 들어, 안티바이러스 제품의 경우 악성코드 탐지 및 업데이트 / 일반 응용프로그램은 활성화 여부 및 성공 여부
- 2. 시스템 로그 : Windows 시스템 구성요소가 기록하는 이벤트
- 예를 들어, 시스템 부팅시 드라이버가 로드 되지 않는 오류 / 서비스 실행여부 / 파일 시스템 필터
- 3. 보안 로그 : 유효하거나 유효하지 않은 로그인 시도 및 파일 접근의 리소스 사용과 관련된 이벤트 기록
- 보안 로그를 설정하거나 사용여부, 기록할 이벤트를 지정하려면 관리자(Administrator) 그룹의 계정으로 작업
- 4. 설치 로그 : 응용프로그램 설치 시 발생하는 이벤트로, 프로그램이 잘 설치되었는지, 호환성 문제 등 기록
이벤트 로그 관리 및 분석
- 이벤트 뷰어로 로그를 살펴봅시다.
- Forwarded Events는 전달된 이벤트 로그로, 로컬 컴퓨터뿐만 아니라 원격 컴퓨터의 전달된 이벤트 수집
- 이를 이용하여 로그만을 기록하는 전용 컴퓨터, 로그 서버 가능
- 이벤트 속성을 보면 아래와 같은 정보들이 나온다.
- 어떤 경로에 있는지 등도 나오며 자세히를 누르면 더 자세한 정보 확인 가능
- 이벤트 속성 중 수준(level)은 총 다섯 가지의 유형으로 구분되는데, 아래는 '경고' 유형이다.
- 이벤트 형태의 수준은 다섯 가지로 나뉜다.
- 1. 오류 : 데이터 손실이나 기능 상실 같은 중대한 문제로, 시스템을 시작하는 동안 서비스가 로드되지 못했을 경우 기록
- 2. 경고 : 시스템에 문제가 발생할 수 있는 문제를 미리 알려주는 이벤트로, 디스크 공간이 부족할 때와 같은 로그 기록
- 3. 정보 : 응용 프로그램, 드라이버 또는 서비스가 성공적으로 수행되었음을 설명하는 이벤트 로그
- 4. 성공 감사 : 사용자가 시스템에 성공적으로 로그온 했을 경우와 같이 감사된 보안 이벤트가 성공 했음을 나타냄
- 5. 실패 감사 : 사용자가 시스템에 로그온 실패 했을 경우와 같이 감사된 보안 이벤트가 실패 했음을 나타냄
* 로그온 : 사용자 인증을 받아 시스템을 사용할 수 있는 상태
- 이벤트 뷰어로 이벤트 로그를 볼 때, 형광펜 칠한 부분처럼 모니터링을 (사용 안 함) 설정이 되어있다.
- 만약 모니터링 되고 있지 않은 항목에 대하여 로그 모니터링이 필요하다 생각되면 우측을 눌러
- [속성]과 [찾기] 사이에 있는 [로그 사용]을 클릭해 모니터링하도록 설정한다.
- 이후 관련 이벤트가 발생하면 로그가 남을 것이다!
- 물론, 다시 [로그 설정 안함] 설정도 가능함
로그 감사 정책
- 이벤트 로그 감사 정책 : 객체 액세스, 로그온/로그오프, 감사 정책 설정 변경 등의 보안 관련 로그 기록
- 감사 정책의 자세한 설명은 kali-km.tistory.com/entry/Windows-Event-Log-1 여기서 참고하자..
3. veracrypt
Veracrypt
- 윈도우 프로 버전에는 BitLocker(비트로커)를 이용해 디스크 암호화하여 파일을 보호
- BUT 윈도우 홈 버전 사용자는 따로 프로그램을 이용해야 한다.
- => Veracrypt (베라크립트) 는 오픈소스 무료 프로그램이며,
- 가상 디스크를 만들거나 파티션 등의 기억 장치를 사전 부팅 인증을 사용하여 암호화 할 수 있다.
* 사전 부팅 인증 : 컴퓨터 운영 체제(OS)를 부팅하기 전에 컴퓨터에 식별자를 입력해야하는 프로세스
* 자세한 내용이 알고 싶다면 www.netinbag.com/ko/internet/what-is-a-pre-boot-authentication.html
- VeraCrypt를 다운받자 => www.veracrypt.fr/en/Downloads.html
- 한국어 설정이 가능하다.
- Veracrypt의 디스크 암호화 방식 크게 세 가지
- 1. 디스크 볼륨 전체를 암호화
- -> 암호를 모른다면 해당 디스크에 접근 완전 차단 가능하다는 장점
- -> 외장하드
- 2. 컨테이너 방식의 파일 형태로 저장한 다음 마운트하는 방식
- -> C 드라이브처럼 디스크 전체를 암호화하므로 부담스러운 경우
- -> 일부 용량을 컨테이너(파일)로 할당해 저장 공간을 만들어 암호화하고, 가상 디스크(VHD)라고 생각하면 됨
- -> C 드라이브에 일부 파일을 숨길 때 사용함
- 3. 윈도우가 설치된 디스크 전체를 암호화
- -> 윈도우 설치 디스크 암호화는 모두 잠길 수 있으니까 숙련자가 아니면 하지 말자....
Veracrpty 실습
- USB 외장하드 전체를 암호화 한다 가정하고 실습해봅시다.
- 모든 자세한 과정은 extrememanual.net/34032 상세히 설명되어 있음
- [비 시스템 파티션/드라이브 암호화] - [볼륨 유형(표준 볼륨)] - [볼륨 위치 선택(이동식 디스크)] - [볼륨 생성 모드(포맷)] - [암호화 설정] - [볼륨 크기] - [볼륨 암호] - [큰 파일] - [볼륨 포맷]
- [볼륨 유형]
- 1. 표준 Veracrpty 볼륨 : 암호화만 적용된 볼륨으로 외장하드 암호화만 진행
- 2. 숨겨진 Veracrpty 볼륨 : 암호를 모른다면 암호화된 볼륨 구조를 들여다 볼 수 없는 옵션
- [볼륨 위치 선택]
- 암호화하고자 하는 외장하드 선택 !
- [볼륨 생성 모드]
- 1. 암호화된 볼륨 생성 및 포맷 : 외장하드에 데이터가 없는 경우 포맷과 동시에 암호화된 디스크 생성
- 2. 전체 파티션 암호화 : 외장하드에 파일이 있는 경우 기존 파일을 유지하며 암호화
- [암호화 설정]
- 암호 알고리즘 및 해시 알고리즘 선택
- [볼륨 암호]
- 비밀번호를 입력해 암호를 설정하는데, 20자 이상의 문자로 구성하라 경고문 뜸
- [큰 파일]
- 4GB 보다 큰 파일을 저장하는 가? Y or N
- [볼륨 포맷]
- 파일 시스템의 기본값이 ExFAT로 설정되어 있는데, 윈도우면 NTFS로 바꾸자
- 이후 포맷하면 마우스를 왔다갔다 돌려 Bar를 초록색으로 만들고 포맷 진행
성공적 마무리.
- 내 드라이브에서 보면 USB에 접근하면 '포맷할꺼야?' 와 같은 메세지가 뜸
(실제문구와 다름) - 이때, 포맷을 진행하면 외장하드 파일이 모두 날라가 암호화도 자동으로 풀림 -> 근데 무슨 의미?
- 결국 포맷 안함 선택 하면 '엑세스 할 수 없습니다' 문구가 뜨면서 외장하드에 접근이 불가능
- 위의 VeraCrpt 볼륨 만들기 마법사 중요 메세지를 보자
- 해석하면 USB 외장하드를 마운트하여 다른 드라이브 하나가 더 필요하다는 말이다.
- 현재 본인의 드라이브는 C, D 드라이브가 존재하므로 다음으로 E 드라이브로 설정하면 되겠다.
- 이후 과정을 캡쳐 못했는데, Veracrpty에서 E 드라이브로 마운트 해서 사용하면 된다.
- 다 사용하고 다시 잠그려면 Veracrpty에서 꺼내기 하면 됨
- 외장하드 암호화 방식은 Veracrpty 암호화 방식 중 첫 번째인 디스크 볼륨 전체를 암호화 방식
- 두 번째인 컨테이너 파일 형식으로 암호화 방식도 과정은 비슷하다.
- 컨테이너 파일이 저장될 디스크 위치를 선택한 다음 적당한 파일명을 입력해 지정
- 할당할 볼륨 크기도 지정
- 최종적으로 완료되면 컨테이너 파일이 저장된 곳을 가서 확인하면 큰 파일 하나 존재
- 이 파일은 디스크로 마운트해 사용(마운트한 다른 드라이브에 파일 존재하게 됨)
- 최종적으로 디스크를 해제하고 싶다면 VeraCrpty에서 디스크 선택 후 내리다(Unmount) 클릭
< 참고 자료 >
m.blog.naver.com/innerbus_co/220789904040
kali-km.tistory.com/entry/Windows-Event-Log-1
www.netinbag.com/ko/internet/what-is-a-pre-boot-authentication.html
'sec > forensic' 카테고리의 다른 글
Comments