The CFReDS Project - Hacking Case 8번 (부팅, 종료 시간) with autopsy

DD image 및 EnCase image는 https://www.cfreds.nist.gov/Hacking_Case.html 참고

1. Hacking Case 시나리오 

2. 문제 

3. 풀이

대상 컴퓨터의 마지막 종료 시간을 찾아야한다. 컴퓨터 부팅, 종료에 관련 된 기록을 찾아보자.

 

레지스트리

- HKLM\SYSTEM\ControlSet001\Control\Windows - ShutdownTime

- HKLM\Software\Microsoft\WindowNT\CurrentVersion\Prefetcher\ExitTime

 

윈도우 이벤트 로그 - 시스템 이벤트 로그

- Windows xp: C:\Windows\System32\system32\Config

- Windows 7, 10: C:\Windows\System32\winevt\Logs

 

레지스트리는 확인은 지난 포스팅에서도 많이 해봤으니, 이번엔 윈도우 이벤트 로그를 통해서 정답을 찾아보려한다.

근데, autopsy에서 윈도우 이벤트 로그 파싱이 가능한가? 툴을 좀 살펴봤지만 찾지 못했다. 별도의 플러그인을 설치하면 될 것 같기도 한데, 구글에 이에 대한 정보도 별로 없다. 

 

그래도 어쩌겠는가? 찾아봐야지. 일단 해당 이미지는 윈도우 xp 이므로 C:\Windows\System32\system32\Config 로 이동해보면, 아래와 같은 파일이 존재한다.

이벤트 로그를 찾았으니 열어야 되는데, 위에서 언급한 것처럼 autopsy에서는 마땅히 저 파일을 파싱해줄만한 도구가 없어보인다. 따라서, 외부(분석가의 컴퓨터)에 있는 이벤트 뷰어 파싱 툴을 이용하려고 한다. 이는 해당 이벤트 로그를 우클릭한 후 'Open in External Viewer'을 클릭하면 된다.

 그럼 아래와 같이 저장된 로그에 방금 추가한 로그가 나타나는 것을 볼 수 있다.

 

이제 부팅, 종료에 대한 로그를 찾으면 되는데 하나씩 하나씩 다 읽어보기는 귀찮으니 이벤트 ID로 필터를 걸도록 하자.

참고로 윈도우 부팅, 종료에 대한 이벤트 ID는 아래와 같다. (OS 별로 다를 수 있으니 확인 필수)

https://prolite.tistory.com/1052 펌

6006, 6008을 아래와 같이 필터로 걸자.

 

위와 같이 필터를 넣고 검색했더니, 오류 창이 뜬다. 자세히 보니 처음에 이런 경고창이 있었는데 무시해서 그런 것이다.

 

저기서 말하는대로 불러온 이벤트를 [동작] - [다른 이름으로 모든 이벤트 저장]을 통해 저장 후 다시 필터를 걸어주면 아래와 같이 결과 값이 나오는 것을 볼 수 있다.

 

2004년 08월 28일 오전 12시 46분 28초 

 

이게 답일까?

.

.

.

.

아니다. 이전 포스팅에서 볼 수 있듯이 필자는 autopsy에 이미지를 올릴때 시간 설정을 잘못했다.

저건 필자가 지정한 KST 기준의 시간이니, 이미지의 진짜 Timezone인 Central Time 로 바꾸면 정답이 된다.

 

 

 

** TMI: 참고로 이벤트 로그에서 확인한 값과  레지스트리 값과 비교했을 때 5초 정도의 차이가 난다. 이는 각 모듈이 시스템의 종료를 기록하는 시점의 차이인 것으로 보여진다. (ex. 이벤트 로그는 이벤트 로그가 정지된 시점이 종료 시점이고, registry는 윈도우의 모든 서비스가 종료된 시점이 종료 시점). 아무래도 이벤트 로그보다는 레지스트리가 더 확실한 답인 것으로 보인다.