겉바속촉
[보안] 시스템 로그 분석 2 (feat. Powershell) 본문
Windows PowerShell
- 관리자를 위해 특별히 설계된 windows 명령 쉘
-> cmd보다 많은 기능 보유, 시스템 자동화 관리에도 사용
-> 자동화 관리는 bash 또는 powershell을 이용 - 로그 검색 시 windows 이벤트 뷰어 보다 많은 이점 있음
- windows + R 조합으로 실행 메뉴 -> powershell 입력
사용 가능한 로그 위치 목록 가져오기
PS C:\Users\A0501660> get-eventlog -list
Max(K) Retain OverflowAction Entries Log
------ ------ -------------- ------- ---
20,480 0 OverwriteAsNeeded 8,219 Application
20,480 0 OverwriteAsNeeded 0 HardwareEvents
512 7 OverwriteOlder 0 Internet Explorer
20,480 0 OverwriteAsNeeded 0 Key Management Service
128 0 OverwriteAsNeeded 56 OAlerts
Security
20,480 0 OverwriteAsNeeded 16,952 System
15,360 0 OverwriteAsNeeded 8,469 Windows PowerShell
로컬에서 시스템 로그를 얻기 위한 명령
PS C:\Users\A0501660> Get-EventLog -LogName System
Index Time EntryType Source InstanceID Message
----- ---- --------- ------ ---------- -------
20346 2 04 14:45 Warning hcmon 2147483648 Detected unrecognized USB driver (\Driver\USBPc...
20345 2 04 14:38 Information Netwtw06 1073748827 7003 - Roam Complete
20344 2 04 14:35 Information Netwtw06 1073748845 7021 - Connection telemetry fields and analysis...
20343 2 04 14:35 Warning hcmon 2147483648 Detected unrecognized USB driver (\Driver\USBPc...
20342 2 04 14:35 Information Microsoft-Windows... 1 시스템이 저전원 상태에서 복귀되었습니다....
20341 2 04 14:35 Information Microsoft-Windows... 10001 WLAN 확장성 모듈을 시작했습니다....
20340 2 04 14:35 Information Netwtw06 1073748841 7017 - secure boot (SB) configuration
20339 2 04 14:35 Information Netwtw06 1073748834 7010 - driver enabled (miniport init)
20338 2 04 14:35 Information Netwtw06 1073748829 7005 - SAR value max TX power (WRDS)
20337 2 04 14:35 Information BTHUSB 1074069522 Bluetooth 인증 코드(연결 키)를 로컬 어댑터에 저...
20336 2 04 14:35 Information Netwtw06 1073748860 \Device\NDMP6 서비스가 Intel(R) Dual Band Wirel...
20335 2 04 14:35 Information Microsoft-Windows... 131 'Microsoft-Windows-Kernel-Power' 소스의 Event I...
20334 2 04 14:35 Information Microsoft-Windows... 1 CVE의 가능한 검색: 2021-02-04T05:35:14.50000000...
20333 2 04 14:25 Information Microsoft-Windows... 107 'Microsoft-Windows-Kernel-Power' 소스의 Event I...
20332 2 04 14:25 Information Netwtw06 1073749824 8000 - Miniport Halt flow (driver disable)
20331 2 04 14:25 Warning Microsoft-Windows... 10002 WLAN 확장성 모듈을 중지했습니다....
20330 2 04 14:25 Warning hcmon 2147483648 Detected unrecognized USB driver (\Driver\USBPc...
20329 2 04 14:25 Information Microsoft-Windows... 42 'Microsoft-Windows-Kernel-Power' 소스의 Event I...
20328 2 04 14:25 Information Microsoft-Windows... 40 'Microsoft-Windows-Kernel-Power' 소스의 Event I...
20327 2 04 14:24 Warning hcmon 2147483648 Detected unrecognized USB driver (\Driver\USBPc...
20326 2 04 14:14 Information Service Control M... 1073748864 Background Intelligent Transfer Service 서비스...
20325 2 04 14:13 Warning hcmon 2147483648 Detected unrecognized USB driver (\Driver\USBPc...
20324 2 04 14:11 Information Service Control M... 1073748864 Background Intelligent Transfer Service 서비스...
|
|
|
뒤에 옵션 붙이기 가능
PS C:\Users\A0501660> Get-EventLog -LogName System -Newest20
PS C:\Users\A0501660> Get-EventLog -LogName System -Source DCOM
로그찍힌 것들을 powershelllog.txt라는 이름으로 만들고싶다면 다음과 같이 해주세요
notepad로 만들어진 것 로드가능 합니다:)
PS C:\Users\A0501660> get-eventlog -logname Windows* >>powershelllog.txt
PS C:\Users\A0501660> notepad powershelllog.txt
모든 감사 로그를 위한 관리자 명령
Auditpol/set/Category:System /failure:enable
사용자 계정 보는 명령 - net users입력!!!
Microsoft Windows [Version 10.0.18363.1316]
(c) 2019 Microsoft Corporation. All rights reserved.
C:\Windows\system32>net users
\\SKIN330001250에 대한 사용자 계정
-------------------------------------------------------------------------------
A0501660 Administrator DefaultAccount
Guest WDAGUtilityAccount
명령을 잘 실행했습니다.
증거수집 및 분석도구
1. 시스템시간 및 시스템 정보 수집
C:\Windows\system32>date
현재 날짜: 2021-02-05
새로운 날짜를 입력하십시오: (년-월-일)
C:\Windows\system32>time
현재 시간: 10:57:52.34
새로운 시간을 입력하십시오:
C:\Windows\system32>date && time
현재 날짜: 2021-02-05
새로운 날짜를 입력하십시오: (년-월-일)
현재 시간: 10:57:59.94
새로운 시간을 입력하십시오:
C:\Windows\system32>
C:\Windows\system32>ver
Microsoft Windows [Version 10.0.18363.1316]
2. web browser history
--> 히스토리(방문기록들), 캐쉬(다운받거나 하는 것들), 쿠키(세션데이터, 로그인기록)
3. 실시간 증거수집 및 분석
-local 사용 도구 : WFT, IRCR, e-fense Live Response...
-Batch File 작성 : Psinfo.exe, pslist.exe, Hfind.exe....
4. 레지스트리 분석
--> 사실 아직까지 풀리지 않은 미스테리....
--> 예를 들어 usb를 꽂은 것은 입력이 되지만 복사해내는 작업들은 기록엔 남지 않아서 문제..
RegRipper.exe, RegWorkshop.exe, Regmon.exe
5. 파일 분석 및 루트킷 탐지
- Prefetch(Superfetch)파일--->window시작할 때 자동으로 실행되는 파일들을 한군데로 모아서 만든 파일
pre(미리) + fetch(가지고 오다)
즉, 프로그램이 실행되면서 필요했던 정보들을 저장해두었다가 나중에 다시 실행될 때 정보 재이용
빠른 실행효과를 기대
- filemon.exe, Procomon.exe, IceSword.exe, Everything.exe 등
windows + R 키 눌러서 msconfig 입력하면 다음과 같은 팝업창이 뜹니다.
시작프로그램 탭으로 가보시면 컴퓨터를 부팅할 때마다
자동 실행되는 것들도 확인할 수 있습니다.
6. 로그파일 분석 : event 로그, web 로그
log Parser.exe, Event Log Explorer.exe
'IT 일기 (상반기) > 네트워크 및 시스템 보안' 카테고리의 다른 글
[보안] 자동화 도구 (0) | 2021.02.05 |
---|---|
[보안] Sysinternals, Nirsoft 설치 후 사용해보기 (0) | 2021.02.05 |
[보안] 시스템 로그 분석 1 (0) | 2021.02.04 |
[보안] NAC/ ESM/ SIEM/ TMS (0) | 2021.02.04 |
[보안] 방화벽 (0) | 2021.02.03 |