ssoL2 TISTORY

[Whois] 포렌식 교육 4주차 공부 / 보고서 작성/Windows eventlog/Veracrypt 본문

sec/forensic

[Whois] 포렌식 교육 4주차 공부 / 보고서 작성/Windows eventlog/Veracrypt

ssoL2 2021. 1. 25. 09:48

공부


1. 보고서 특강
2. Windows eventlog 가 무엇인지, 어디에 저장되는지 등
3. veracrypt를 한 번 사용해 보세요.


1. 보고서 특강

디지털 포렌식 분야에서 보고서 작성의 비중이 높다. 어떤 대회는 점수 비중이 50%나 될 정도로..

보고서의 전체적인 구성은 다음과 같다.

 

1) 문제 내용

 

 

2) 사용한 도구 목록 (툴 이름, 발행자, 버전, URL)

 

 

3) 수집한 아티펙터 목록 ($MFT, $UsnJrnl$J 등)

 

 

4) PC 환경 (운영체제, Bit, ReleaseId, IP 주소)

 

 

5) 사용기록 타임라인 

-> 위에 수집한 아티펙터를 기준으로 시간 순으로 내용이 기록되며, 파일 생성 기록은 NTFS Log Tracker를 사용함

 

 

6) 문제 풀이 Writeup <핵심>

 

7) reference (참고자료)

 

 

  • PC 환경 정보는 여러모로 유용함
  • -> 문제 풀이 과정에서 환경 정보 버전으로 취약점에 영향을 줄 수 있기 때문
  • 또한, 웹 문제에서도 오래된 버전이면 공격 가능하므로 PC 환경을 활용합시다.

 

  • 디지털 포렌식 문제에서 악성코드 찾아내는 과정이 분석하는 리버싱 과정과 연결됨
  • 리버싱 스킬도 어느정도 필요로 함

 


 

2. Windows eventlog 가 무엇인지, 어디에 저장되는지 등

WINDOWS EVENTLOG
  • Windows eventlog : Window의 로그를 '이벤트 로그'라고 부르며, 윈도우에서 일어나는 일분야별로 나눠 기록
  • 성능, 오류, 경고 및 운영 정보 등의 중요 정보 기록
  • 운영체제의 버전 별로 형태와 경로가 다름
  • Windows10 기준 경로 \WindowSystem32\winevt\Logs / 확장자 .evtx

Windows 2000/XP/2003 과 Windows Vista/2008/7 이후의 버전

 

  • 로그 확인은 직접 경로 탐색 혹은 이벤트뷰어콘솔(eventvwr.msc)로 확인
  • 이벤트뷰어의 로그파일 중 가장 일반적인 로그파일은 응용프로그램, 시스템, 보안, 설치 총 네 가지

 

  • 1. 응용프로그램 로그 : 응용프로그램이 기록한 다양한 이벤트로, 기록되는 이벤트는 제품 개발자에 의해 결정됨
  • 예를 들어, 안티바이러스 제품의 경우 악성코드 탐지 및 업데이트 / 일반 응용프로그램은 활성화 여부 및 성공 여부
  • 2. 시스템 로그 : Windows 시스템 구성요소가 기록하는 이벤트
  • 예를 들어, 시스템 부팅시 드라이버가 로드 되지 않는 오류 / 서비스 실행여부 / 파일 시스템 필터
  • 3. 보안 로그 : 유효하거나 유효하지 않은 로그인 시도 및 파일 접근의 리소스 사용과 관련된 이벤트 기록
  • 보안 로그를 설정하거나 사용여부, 기록할 이벤트를 지정하려면 관리자(Administrator) 그룹의 계정으로 작업
  • 4. 설치 로그 : 응용프로그램 설치 시 발생하는 이벤트로, 프로그램이 잘 설치되었는지, 호환성 문제 등 기록

 

이벤트 로그 관리 및 분석
  • 이벤트 뷰어로 로그를 살펴봅시다.

윈도우 검색 - [이벤트 뷰어]

 

Windows 로그에 위에서 언급한 4가지 기본 로그

 

  • Forwarded Events는 전달된 이벤트 로그로, 로컬 컴퓨터뿐만 아니라 원격 컴퓨터의 전달된 이벤트 수집
  • 이를 이용하여 로그만을 기록하는 전용 컴퓨터, 로그 서버 가능

 

  • 이벤트 속성을 보면 아래와 같은 정보들이 나온다.
  • 어떤 경로에 있는지 등도 나오며 자세히를 누르면 더 자세한 정보 확인 가능

 

  • 이벤트 속성 중 수준(level)은 총 다섯 가지의 유형으로 구분되는데, 아래는 '경고' 유형이다.

 

  • 이벤트 형태의 수준은 다섯 가지로 나뉜다.
  • 1. 오류 : 데이터 손실이나 기능 상실 같은 중대한 문제로, 시스템을 시작하는 동안 서비스가 로드되지 못했을 경우 기록
  • 2. 경고 : 시스템에 문제가 발생할 수 있는 문제를 미리 알려주는 이벤트로, 디스크 공간이 부족할 때와 같은 로그 기록
  • 3. 정보 : 응용 프로그램, 드라이버 또는 서비스가 성공적으로 수행되었음을 설명하는 이벤트 로그
  • 4. 성공 감사 : 사용자가 시스템에 성공적으로 로그온 했을 경우와 같이 감사된 보안 이벤트가 성공 했음을 나타냄
  • 5. 실패 감사 : 사용자가 시스템에 로그온 실패 했을 경우와 같이 감사된 보안 이벤트가 실패 했음을 나타냄

* 로그온 : 사용자 인증을 받아 시스템을 사용할 수 있는 상태

 

 

  • 이벤트 뷰어로 이벤트 로그를 볼 때, 형광펜 칠한 부분처럼 모니터링을 (사용 안 함) 설정이 되어있다.

  • 만약 모니터링 되고 있지 않은 항목에 대하여 로그 모니터링이 필요하다 생각되면 우측을 눌러
  • [속성]과 [찾기] 사이에 있는 [로그 사용]을 클릭해 모니터링하도록 설정한다.
  • 이후 관련 이벤트가 발생하면 로그가 남을 것이다!
  • 물론, 다시 [로그 설정 안함] 설정도 가능함

 

로그 감사 정책
  • 이벤트 로그 감사 정책 : 객체 액세스, 로그온/로그오프, 감사 정책 설정 변경 등의 보안 관련 로그 기록
  • 감사 정책의 자세한 설명은 kali-km.tistory.com/entry/Windows-Event-Log-1 여기서 참고하자..

 


 

3. veracrypt

Veracrypt
  • 윈도우 프로 버전에는 BitLocker(비트로커)를 이용해 디스크 암호화하여 파일을 보호
  • BUT 윈도우 홈 버전 사용자는 따로 프로그램을 이용해야 한다.
  • => Veracrypt (베라크립트) 는 오픈소스 무료 프로그램이며,
  • 가상 디스크를 만들거나 파티션 등의 기억 장치를 사전 부팅 인증을 사용하여 암호화 할 수 있다.

* 사전 부팅 인증 : 컴퓨터 운영 체제(OS)를 부팅하기 전에 컴퓨터에 식별자를 입력해야하는 프로세스

* 자세한 내용이 알고 싶다면 www.netinbag.com/ko/internet/what-is-a-pre-boot-authentication.html

 

 

  • 한국어 설정이 가능하다.

 

  • Veracrypt의 디스크 암호화 방식 크게 세 가지
  • 1. 디스크 볼륨 전체를 암호화
  • -> 암호를 모른다면 해당 디스크에 접근 완전 차단 가능하다는 장점
  • -> 외장하드
  • 2. 컨테이너 방식의 파일 형태로 저장한 다음 마운트하는 방식 
  • -> C 드라이브처럼 디스크 전체를 암호화하므로 부담스러운 경우
  • -> 일부 용량을 컨테이너(파일)로 할당해 저장 공간을 만들어 암호화하고, 가상 디스크(VHD)라고 생각하면 됨
  • -> C 드라이브에 일부 파일을 숨길 때 사용함
  • 3. 윈도우가 설치된 디스크 전체를 암호화 
  • -> 윈도우 설치 디스크 암호화는 모두 잠길 수 있으니까 숙련자가 아니면 하지 말자....

 

Veracrpty 실습
  • USB 외장하드 전체를 암호화 한다 가정하고 실습해봅시다.
  • 모든 자세한 과정은 extrememanual.net/34032 상세히 설명되어 있음
  • [비 시스템 파티션/드라이브 암호화] - [볼륨 유형(표준 볼륨)] - [볼륨 위치 선택(이동식 디스크)] - [볼륨 생성 모드(포맷)] - [암호화 설정] - [볼륨 크기] - [볼륨 암호] - [큰 파일] - [볼륨 포맷]
  • [볼륨 유형] 
  • 1. 표준 Veracrpty 볼륨 : 암호화만 적용된 볼륨으로 외장하드 암호화만 진행
  • 2. 숨겨진 Veracrpty 볼륨 : 암호를 모른다면 암호화된 볼륨 구조를 들여다 볼 수 없는 옵션
  • [볼륨 위치 선택]
  • 암호화하고자 하는 외장하드 선택 !
  • [볼륨 생성 모드]
  • 1. 암호화된 볼륨 생성 및 포맷 : 외장하드에 데이터가 없는 경우 포맷과 동시에 암호화된 디스크 생성
  • 2. 전체 파티션 암호화 : 외장하드에 파일이 있는 경우 기존 파일을 유지하며 암호화 
  • [암호화 설정]
  • 암호 알고리즘 및 해시 알고리즘 선택
  • [볼륨 암호]
  • 비밀번호를 입력해 암호를 설정하는데, 20자 이상의 문자로 구성하라 경고문 뜸

 

  • [큰 파일]
  • 4GB 보다 큰 파일을 저장하는 가? Y or N
  • [볼륨 포맷]
  • 파일 시스템의 기본값이 ExFAT로 설정되어 있는데, 윈도우면 NTFS로 바꾸자
  • 이후 포맷하면 마우스를 왔다갔다 돌려 Bar를 초록색으로 만들고 포맷 진행

그러나 굉장히 오래걸리는 볼륨 포맷..

 

볼륨 포맷이 다 된 후 뜬 중요 메세지. 뒤에서 언급한다.

 

 

성공적 마무리.

 

  • 내 드라이브에서 보면 USB에 접근하면 '포맷할꺼야?' 와 같은 메세지가 뜸 (실제문구와 다름)
  • 이때, 포맷을 진행하면 외장하드 파일이 모두 날라가 암호화도 자동으로 풀림 -> 근데 무슨 의미?
  • 결국 포맷 안함 선택 하면 '엑세스 할 수 없습니다' 문구가 뜨면서 외장하드에 접근이 불가능

근데 왜 FAT32로 됐지 분명 NTFS로 했는디,,

 

  • 위의 VeraCrpt 볼륨 만들기 마법사 중요 메세지를 보자

 

  • 해석하면 USB 외장하드를 마운트하여 다른 드라이브 하나가 더 필요하다는 말이다.
  • 현재 본인의 드라이브는 C, D 드라이브가 존재하므로 다음으로 E 드라이브로 설정하면 되겠다.
  • 이후 과정을 캡쳐 못했는데, Veracrpty에서 E 드라이브로 마운트 해서 사용하면 된다.
  • 다 사용하고 다시 잠그려면 Veracrpty에서 꺼내기 하면 됨

 

  • 외장하드 암호화 방식은 Veracrpty 암호화 방식 중 첫 번째인 디스크 볼륨 전체를 암호화 방식
  • 두 번째인 컨테이너 파일 형식으로 암호화 방식도 과정은 비슷하다.
  • 컨테이너 파일이 저장될 디스크 위치를 선택한 다음 적당한 파일명을 입력해 지정
  • 할당할 볼륨 크기도 지정
  • 최종적으로 완료되면 컨테이너 파일이 저장된 곳을 가서 확인하면 큰 파일 하나 존재
  • 이 파일은 디스크로 마운트해 사용(마운트한 다른 드라이브에 파일 존재하게 됨)

 

  • 최종적으로 디스크를 해제하고 싶다면 VeraCrpty에서 디스크 선택 후 내리다(Unmount) 클릭

 

< 참고 자료 >

m.blog.naver.com/innerbus_co/220789904040

kali-km.tistory.com/entry/Windows-Event-Log-1

www.netinbag.com/ko/internet/what-is-a-pre-boot-authentication.html

extrememanual.net/34032

 

 

 

Comments