Page info
- Page type : PFP Reference
- Knowledge location : 1. Windows System Analysis >> Artifact Analysis >> Windows System Logs
- Other Reference : http://portable-forensics.com/document.html
- PFP & Manual downLoad : http://portable-forensics.com/download.html
윈도우 시스템 로그
윈도우는 이벤트 로그라는 걸출한 바이너리 로깅 시스템을 가지고 있지만, 시스템 운용을 위한 서브시스템 별로 로그를 따로 관리하기도 하고, 호환성 유지를 위해 전통적으로 운용되어온 로그를 아직 유지하고 있기도 하다.
이러한 로그파일들은 텍스트 형태로 되어 있어 열람이 쉬운 편이며, 네트워크 장비 로그와 같이 무모한 양의 로그를 기록하지도 않으므로 상대적으로 분석하기에 용이하다. 또한 잘 살펴보면 설치 시점부터 지속적으로 발생하는 동작들에 대하여 많은 정보를 얻을 수도 있다.
중요한 것은 포렌식 관점에서 로그들이 남기는 의미를 정확히 파악하는 것인데, 각각의 로그의 분석과 교차 분석을 통해 의미 있는 정보를 찾아내는 것은 그 자체만으로도 내용이 방대하므로, 본 페이지에서는 각 로그의 대표적인 특징만 기술하고자 한다.
하지만, 로그파일들에 기록된 각각의 로그의 특징을 정확하게는 모른다고 하더라도, 대부분은 생성증거로서 핵심 증거에 대한 주변 정황, 판단 근거를 마련하는데 이용되므로, 적절한 키워드 검색의 활용과 각각의 로그의 역할만이라도 잘 숙지하고 있다면, 사건 해결에 필요한 정보를 취득하는데는 무리가 없을 것이다.
아래 분석 대상(Target)에서 대표적인 윈도우 로그의 종류와 그 특징 및 경로를 확인할 수 있으므로, 학습.분석 시 참고하기 바란다.
윈도우는 이벤트 로그라는 걸출한 바이너리 로깅 시스템을 가지고 있지만, 시스템 운용을 위한 서브시스템 별로 로그를 따로 관리하기도 하고, 호환성 유지를 위해 전통적으로 운용되어온 로그를 아직 유지하고 있기도 하다.
이러한 로그파일들은 텍스트 형태로 되어 있어 열람이 쉬운 편이며, 네트워크 장비 로그와 같이 무모한 양의 로그를 기록하지도 않으므로 상대적으로 분석하기에 용이하다. 또한 잘 살펴보면 설치 시점부터 지속적으로 발생하는 동작들에 대하여 많은 정보를 얻을 수도 있다.
중요한 것은 포렌식 관점에서 로그들이 남기는 의미를 정확히 파악하는 것인데, 각각의 로그의 분석과 교차 분석을 통해 의미 있는 정보를 찾아내는 것은 그 자체만으로도 내용이 방대하므로, 본 페이지에서는 각 로그의 대표적인 특징만 기술하고자 한다.
하지만, 로그파일들에 기록된 각각의 로그의 특징을 정확하게는 모른다고 하더라도, 대부분은 생성증거로서 핵심 증거에 대한 주변 정황, 판단 근거를 마련하는데 이용되므로, 적절한 키워드 검색의 활용과 각각의 로그의 역할만이라도 잘 숙지하고 있다면, 사건 해결에 필요한 정보를 취득하는데는 무리가 없을 것이다.
아래 분석 대상(Target)에서 대표적인 윈도우 로그의 종류와 그 특징 및 경로를 확인할 수 있으므로, 학습.분석 시 참고하기 바란다.
분석 대상(Target)
Target Path(Location)
|
[In Windows 7 or higher]
%SystemRoot%\PANTHER\setupact.log [In Windows XP] %SystemRoot%\setupact.log |
Check List
|
Information on installing application
List of graphical action occurred during installation Timestamp on each action |
Related Tools
|
[Public] Text File Viewer
Notepad Notepad++ LTFViewer |
설치하는 동안의 설치 작업에 대한 정보를 담아두는 로그로, 응용프로그램 설치 절차에서 디스플레이와 관련된 부분에 대한 기록을 주로 유지한다.
Target Path(Location)
|
%SystemRoot%\Debug\Netsetup.log
|
Check List
|
Network-related behavior or error on installing application
|
Related Tools
|
[Public] Text File Viewer
Notepad Notepad++ LTFViewer |
시스템이 설치되는 동안에 생성, 네트워크와 관련하여 생기는 동작이나 오류 등을 기록하는 로그이다.
Target Path(Location)
|
%SystemRoot%\SchedLgU.txt
%WINDIR%\Tasks\ - Look at the *.job file (job file format) [In Windows Vista or higher only] %WINDIR%\System32\Tasks\ - There are no extention (XML file format) |
Check List
|
Remote Logon or access
Account create or delete Service strat or end Process start System halt |
Related Tools
|
elex
|
작업 스케줄러의 예약된 작업 대한 실행 결과를 기록하는 로그이다.
Target Path(Location)
|
[In Windows 7 or higher]
%SystemRoot%\system32\LogFiles\Firewall\pfirewall.log [In Windows XP] %SystemRoot%\pfirewall.log |
Check List
|
Incoming or outgoing traffic information
|
Related Tools
|
[Public] Text File Viewer
Notepad Notepad++ LTFViewer |
시스템 내부로 들어오는 트래픽을 수집하거나 식별한 내용을 기록하는 로그이다.
Target Path(Location)
|
%SystemRoot%\Drwatson\Watsonxxx.wlg
|
Check List
|
Debugging information in case of error
|
Related Tools
|
[Public] Text File Viewer
Notepad Notepad++ LTFViewer |
닥터 왓슨은 윈도우에서 응용프로그램이 동작 중에 발생하는 오류에 대한 해결 프로그램이다. 프로그램 디버깅을 위해 사용되는 로그이지만, 프로그램의 동작 여부, 작동 이상 여부를 증명하는데에도 사용 가능할 것이다.
Target Path(Location)
|
%SystemRoot%\setupact.log
%SystemRoot%\logs\cbs\cbs.log |
Check List
|
Details of the system recovery operation and verification
|
Related Tools
|
[Public] Text File Viewer
Notepad Notepad++ LTFViewer |
시스템에서 진행되는 다양한 복구 작업, 검증 작업을 기록하는데 사용된다.
Target Path(Location)
|
%SystemRoot%\Minidump\*.dmp
|
Check List
|
Snapshot of specific memory area
Sometime contains OS-related information |
Related Tools
|
[Public] Text File Viewer
Notepad Notepad++ LTFViewer |
응용프로그램 혹은 운영체제 충돌 시 관련된 메모리 영역과 데이터에 관한 스냅샷을 가지고 있는 파일이다. 프로그램 디버깅을 위해 주로 사용되지만, 충돌 당시의 시스템 상태를 살펴 보는데에도 도움이 될 수 있다.
Target Path(Location)
|
[In Windows 7 or Higher]
%SystemRoot%\PANTHER\setuperr.log [In Windows XP] %SystemRoot%\setuperr.log |
Check List
|
Error information on installing application
|
Related Tools
|
[Public] Text File Viewer
Notepad Notepad++ LTFViewer |
응용프로그램을 설치하는 동안의 설치 리포트(오류 등)에 대한 정보를 담아두는 로그이다.
Target Path(Location)
|
%SystemRoot%\setupapi.log
[Vista and more over only]
%SystemRoot%\INF\setupapi.dev.log %SystemRoot%\INF\setupapi.app.log |
Check List
|
Log information on installing plug and play device and driver - setupapi.dev.log Log information on installing application - setupapi.app.log Log information on installing service pack and hotfix - setupapi.log Log information about major changes in the system - setipapi.log - include device and driver change |
Related Tools
|
[Public] Text File Viewer
Notepad Notepad++ LTFViewer |
setupapi.log : 윈도우 Vista 이전 버전에서 사용되던 파일로 여기에 전부 저장, 장치 변경 사항, 드라이버 변경 사항 및 서비스 팩 설치와 핫픽스 설치와 같은 주요 시스템 변경에 관한 로그
setupapi.dev.log : 플러그 앤 플레이 장치 및 드라이버 설치에 대한 정보에 대한 로그
setupapi.app.log : 응용 프로그램 설치에 대한 정보에 대한 로그
RDP Log
Target Path(Location)
|
%Profile%\Documents\Default.rdp
|
Check List
|
Connected ip or host name
|
Related Tools
|
[Public] Text File Viewer
Notepad Notepad++ LTFViewer |
분석 대상 시스템에서 RDP 접속을 한 흔적 파악하는데 사용될 수 있다. RDP 접속 후 네트워크를 통해 용의자가 파일을 전송하였거나, 정보를 획득할 수 있다는 가능성을 제기할 수 있으며, 침해사고 관점에서는 원치 않은 접속 요청에 대한 정보를 수집하여 시스템의 악성 행위 시점을 판단하는데 도움을 줄 수 있다.