윈도우 시스템 로그(Windows System Logs)

Page info

• Page type : PFP Reference
• Knowledge location : 1. Windows System Analysis >> Artifact Analysis >> Windows System Logs
• Other Reference : http://portable-forensics.com/document.html
• PFP & Manual downLoad : http://portable-forensics.com/download.html

윈도우 시스템 로그

윈도우는 이벤트 로그라는 걸출한 바이너리 로깅 시스템을 가지고 있지만, 시스템 운용을 위한 서브시스템 별로 로그를 따로 관리하기도 하고, 호환성 유지를 위해 전통적으로 운용되어온 로그를 아직 유지하고 있기도 하다.

이러한 로그파일들은 텍스트 형태로 되어 있어 열람이 쉬운 편이며, 네트워크 장비 로그와 같이 무모한 양의 로그를 기록하지도 않으므로 상대적으로 분석하기에 용이하다. 또한 잘 살펴보면 설치 시점부터 지속적으로 발생하는 동작들에 대하여 많은 정보를 얻을 수도 있다.

중요한 것은 포렌식 관점에서 로그들이 남기는 의미를 정확히 파악하는 것인데, 각각의 로그의 분석과 교차 분석을 통해 의미 있는 정보를 찾아내는 것은 그 자체만으로도 내용이 방대하므로, 본 페이지에서는 각 로그의 대표적인 특징만 기술하고자 한다.

하지만, 로그파일들에 기록된 각각의 로그의 특징을 정확하게는 모른다고 하더라도, 대부분은 생성증거로서 핵심 증거에 대한 주변 정황, 판단 근거를 마련하는데 이용되므로, 적절한 키워드 검색의 활용과 각각의 로그의 역할만이라도 잘 숙지하고 있다면, 사건 해결에 필요한 정보를 취득하는데는 무리가 없을 것이다.

아래 분석 대상(Target)에서 대표적인 윈도우 로그의 종류와 그 특징 및 경로를 확인할 수 있으므로, 학습.분석 시 참고하기 바란다.

분석 대상(Target)

※ 아래의 내용은 PFP-List와 연동되는 정보로, PFP에서 확인 및 분석에 직접적인 활용이 가능합니다.
   (PFP Manual, PFP Download, PFP home)

Setupact

Target Path(Location)

[In Windows 7 or higher] %SystemRoot%\PANTHER\setupact.log [In Windows XP] %SystemRoot%\setupact.log

Check List

Information on installing application List of graphical action occurred during installation Timestamp on each action

Related Tools

[Public] Text File Viewer Notepad Notepad++ LTFViewer

설치하는 동안의 설치 작업에 대한 정보를 담아두는 로그로, 응용프로그램 설치 절차에서 디스플레이와 관련된 부분에 대한 기록을 주로 유지한다. 

Netsetup

Target Path(Location)

%SystemRoot%\Debug\Netsetup.log

Check List

Network-related behavior or error on installing application

Related Tools

[Public] Text File Viewer Notepad Notepad++ LTFViewer

시스템이 설치되는 동안에 생성, 네트워크와 관련하여 생기는 동작이나 오류 등을 기록하는 로그이다. 

Task Scheduler

Target Path(Location)

%SystemRoot%\SchedLgU.txt %WINDIR%\Tasks\  - Look at the *.job file (job file format) [In Windows Vista or higher only] %WINDIR%\System32\Tasks\  - There are no extention (XML file format)

Check List

Remote Logon or access Account create or delete Service strat or end Process start System halt

Related Tools

elex

작업 스케줄러의 예약된 작업 대한 실행 결과를 기록하는 로그이다. 

Firewall Log

Target Path(Location)

[In Windows 7 or higher] %SystemRoot%\system32\LogFiles\Firewall\pfirewall.log [In Windows XP] %SystemRoot%\pfirewall.log

Check List

Incoming or outgoing traffic information

Related Tools

[Public] Text File Viewer Notepad Notepad++ LTFViewer

시스템 내부로 들어오는 트래픽을 수집하거나 식별한 내용을 기록하는 로그이다. 

Dr.Watson

Target Path(Location)

%SystemRoot%\Drwatson\Watsonxxx.wlg

Check List

Debugging information in case of error

Related Tools

[Public] Text File Viewer Notepad Notepad++ LTFViewer

닥터 왓슨은 윈도우에서 응용프로그램이 동작 중에 발생하는 오류에 대한 해결 프로그램이다. 프로그램 디버깅을 위해 사용되는 로그이지만, 프로그램의 동작 여부, 작동 이상 여부를 증명하는데에도 사용 가능할 것이다. 

Cbs.log

Target Path(Location)

%SystemRoot%\setupact.log %SystemRoot%\logs\cbs\cbs.log

Check List

Details of the system recovery operation and verification

Related Tools

[Public] Text File Viewer Notepad Notepad++ LTFViewer

시스템에서 진행되는 다양한 복구 작업, 검증 작업을 기록하는데 사용된다. 

Crash Dump Files

Target Path(Location)

%SystemRoot%\Minidump\*.dmp

Check List

Snapshot of specific memory area Sometime contains OS-related information

Related Tools

[Public] Text File Viewer Notepad Notepad++ LTFViewer

응용프로그램 혹은 운영체제 충돌 시 관련된 메모리 영역과 데이터에 관한 스냅샷을 가지고 있는 파일이다. 프로그램 디버깅을 위해 주로 사용되지만, 충돌 당시의 시스템 상태를 살펴 보는데에도 도움이 될 수 있다. 

Setuperr

Target Path(Location)

[In Windows 7 or Higher] %SystemRoot%\PANTHER\setuperr.log [In Windows XP] %SystemRoot%\setuperr.log

Check List

Error information on installing application

Related Tools

[Public] Text File Viewer Notepad Notepad++ LTFViewer

응용프로그램을 설치하는 동안의 설치 리포트(오류 등)에 대한 정보를 담아두는 로그이다. 

Setupapi

Target Path(Location)

%SystemRoot%\setupapi.log [Vista and more over only] %SystemRoot%\INF\setupapi.dev.log %SystemRoot%\INF\setupapi.app.log

Check List

Log information on installing plug and play device and driver - setupapi.dev.log Log information on installing application - setupapi.app.log Log information on installing service pack and hotfix - setupapi.log Log information about major changes in the system - setipapi.log  - include device and driver change

Related Tools

[Public] Text File Viewer Notepad Notepad++ LTFViewer

setupapi.log : 윈도우 Vista 이전 버전에서 사용되던 파일로  여기에 전부 저장, 장치 변경 사항, 드라이버 변경 사항 및 서비스 팩 설치와 핫픽스 설치와 같은 주요 시스템 변경에 관한 로그
setupapi.dev.log : 플러그 앤 플레이 장치 및 드라이버 설치에 대한 정보에 대한 로그
setupapi.app.log : 응용 프로그램 설치에 대한 정보에 대한 로그




RDP Log

Target Path(Location)

%Profile%\Documents\Default.rdp

Check List

Connected ip or host name

Related Tools

[Public] Text File Viewer Notepad Notepad++ LTFViewer

분석 대상 시스템에서 RDP 접속을 한 흔적 파악하는데 사용될 수 있다. RDP 접속 후 네트워크를 통해 용의자가 파일을 전송하였거나, 정보를 획득할 수 있다는 가능성을 제기할 수 있으며, 침해사고 관점에서는 원치 않은 접속 요청에 대한 정보를 수집하여 시스템의 악성 행위 시점을 판단하는데 도움을 줄 수 있다.