ํด๋น ๊ฐ์๋ฅผ ์๊ฐํ๋ฉฐ ์ ๋ฆฌํ ๋ด์ฉ์ ๋๋ค.
[๋ฌด๋ฃ] ๊ธฐ์ด๋ถํฐ ๋ฐ๋ผํ๋ ๋์งํธํฌ๋ ์ - ์ธํ๋ฐ | ๊ฐ์
๊ธฐ์ด๋ถํฐ ๋ฐ๋ผํ๋ ๋์งํธํฌ๋ ์ ๊ฐ์์ ๋๋ค. ๊ฐ์๋ฅผ ๋ฐ๋ผํ๋ค๋ณด๋ฉด "๋ฌผ ํ๋ฅด๋ฏ, ์์ฐ์ค๋ฝ๊ฒ" ์ค๋ ฅ์ด ๋์ด๊ฐ๋ ๊ฐ์๋ฅผ ์ถ๊ตฌํฉ๋๋ค., ์ด๋ณด์ ๋๋์ด์ ๋ฑ ๋ง์ถ, ์๋ฆฌ๋ฅผ ์ดํดํ๋ ๋์งํธํฌ๋ ์ ์
1. Event Logs
- ๋ก๊ทธ
- ์ปดํจํฐ๋ฅผ ์ด์ฉํ์ ๋ ์ปดํจํฐ ๋ด์ (์๋์ผ๋ก) ๋จ๋ ๊ธฐ๋ก
- ์ด๋ฒคํธ ๋ก๊ทธ(Event Logs)
- Windows ์ด์์ฒด์ ์์ ์์คํ ์ ๋ก๊ทธ๋ฅผ ๋จ๊ธฐ๋ ๋ฐฉ์
- ์ด๋ฒคํธ ๋ทฐ์ด(Event Viewer)๋ฅผ ํตํด ํ์ธํ ์ ์์ (์๋์ฐ ๊ธฐ๋ณธ ํ๋ก๊ทธ๋จ)
- ์ด๋ฒคํธ ๋ก๊ทธ์๋ ์์คํ ๋ก๊ทธ, ์์ฉ ํ๋ก๊ทธ๋จ ๋ก๊ทธ, ๋ณด์ ๋ก๊ทธ ๋ฑ์ด ์กด์ฌ
- ์์ฉ ํ๋ก๊ทธ๋จ ๋ก๊ทธ, ๋ณด์ ๋ก๊ทธ, Setup ๋ก๊ทธ, ์์คํ ๋ก๊ทธ, ์์ฉ ํ๋ก๊ทธ๋จ ๋ฐ ์๋น์ค ๋ก๊ทธ ๋ฑ์ด ์กด์ฌ
overview
- ์์ฉ ํ๋ก๊ทธ๋จ ๋ก๊ทธ (Application)
- ๋ฐ์ดํฐ๋ฒ ์ด์ค ์ค๋ฅ๋ AV ๋ก๊ทธ์ ๊ฐ์ด ์์คํ ๊ตฌ์ฑ ์์๋ฅผ ์ ์ธํ ์์ฉ ํ๋ก๊ทธ๋จ์์ ๋ฐ์ํ ์ด๋ฒคํธ ๊ธฐ๋ก
- ๊ธฐ๋กํ ์ด๋ฒคํธ ์ ํ์ ์์ฉ ํ๋ก๊ทธ๋จ ๊ฐ๋ฐ์๊ฐ ๊ฒฐ์
- ๋ณด์ ๋ก๊ทธ (Security)
- ํ์ผ ๋ง๋ค๊ธฐ, ์ด๊ธฐ ๋ฑ์ ๋ฆฌ์์ค ์ฌ์ฉ ์ด๋ฒคํธ ๋ฐ ๋ก๊ทธ์ธ ์ฑ๊ณต/์คํจ, ๋ณด์ ์ ์ฑ ๋ณ๊ฒฝ๊ณผ ๊ฐ์ ๋ณด์ ์ด๋ฒคํธ ๊ธฐ๋ก์ ๋งํ๋ค. ๊ธฐ๋กํ ์ด๋ฒคํธ ์ ํ์ ๊ด๋ฆฌ์์ ์ํด ๋ณ๊ฒฝ ๊ฐ๋ฅ (์ ์ผํ๊ฒ ์ฌ์ฉ์๊ฐ ๋ณ๊ฒฝ ๊ฐ๋ฅ)
- ์ค์น ๋ก๊ทธ (Setup)
- ์์ฉ ํ๋ก๊ทธ๋จ ์ค์น ๋ฐ ์ค์ ๊ณผ ๊ด๋ จํ ์ด๋ฒคํธ ๊ธฐ๋ก
- ์์ฉ ํ๋ก๊ทธ๋จ ๋ฐ ์๋น์ค ๋ก๊ทธ
- Internet Explorer, Microsoft Office ๋ฐ Windows Application ๋ค์์ ์์ฑํ๋ ๋ค์ํ ๋ก๊ทธ
- Windows Defender(๋ํ๋), Partition Diagnostic(USB ์ฐ๊ฒฐ ํ์ ), WLAN Autoconfig(Wifi ์ฐ๊ฒฐ) ๋ฑ
File Path : C:\Windows\System32\winevt\Logs
์ด๋ฒคํธ ID
- ๊ฐ๊ฐ์ ์ด๋ฒคํธ ๋ก๊ทธ๋ ์ด๋ฒคํธ ID๋ฅผ ๊ฐ์ง๋ค.
- ์ด๋ฒคํธ ID ๋ณ๋ก ๋ํ๋ด๋ ํ๋์ด ์ ์ฌํ๋ค. (ex. ์์คํ Logon์ 4624๋ฅผ ์ฌ์ฉํ๊ณ , ์์คํ Logoff๋ 4634๋ฅผ ์ฌ์ฉ)
์ด๋ค ์ด๋ฒคํธ ID๋ฅผ ์ฐพ์๊ฒ์ธ๊ฐ?
- spotting the Adversart with WIndows Event Log Monitoring, NSA
- Windows 10 and Windows Server 2016 security auditing and monitoring reference, Microsoft
- ์๋์ฐ ์ด๋ฒคํธ ๋ก๊ทธ (EVTX) ๋ถ์ ๋ฐ ํฌ๋ ์ ํ์ฉ๋ฐฉ์, ๊ฐ์ธ๋ฆผ
์ด๋ฒคํธ ID ๊ฒ์ ์ฌ์ดํธ
EventTracker Knowledgebase
Security Event Log Knowledgebase
kb.eventtracker.com
Windows Security Log Encyclopedia
www.ultimatewindowssecurity.com
์ค์ต
(1) ์ด๋ฒคํธ ๋ทฐ์ด๋ฅผ ์ด์ด ์ฌ์ฉ์ ์ง์ ๋ณด๊ธฐ ๋ง๋ค๊ธฐ๋ฅผ ํด๋ฆญํ๋ค.
(2) Windows ๋ก๊ทธ์ ์์ฉ ํ๋ก๊ทธ๋จ ๋ฐ ์๋น์ค ๋ก๊ทธ๋ฅผ ์ฒดํฌํ๋ค.
์ํํธ์จ์ด ์ค์น, ์ ๋ฐ์ดํธ ๋ฐ ์ญ์ ์ ๊ด๋ จ๋ ์ด๋ฒคํธ ID ์ ๋ํด ํํฐ๋ง์ ์งํํ๋ค
: 6, 7045, 1022, 1033, 903-908, 800, 2, 19
ํํฐ๋ง์ ์ ์ฉํ ๊ฒฐ๊ณผ๋ฅผ software๋ผ๋ ์ด๋ฆ์ผ๋ก ์ ์ฅํ๋ค.
์ฌ์ฉ์ ๋ก๊ทธ์ธ๊ณผ ๊ด๋ จ๋ ์ด๋ฒคํธ ID๋ก ํํฐ๋ง
: 4740, 4728, 2732, 4756, 4735, 4624, 4625, 4648
ํํฐ๋ง์ ์ ์ฉํ ๊ฒฐ๊ณผ๋ฅผ User Login์ด๋ผ๋ ์ด๋ฆ์ผ๋ก ์ ์ฅํ๋ค.
2. VSS(Volume Shadow Copy Service)
VSS๋ ํน์ ํ ์๊ฐ์ ํ์ผ, ํด๋์ ๋ณต์ฌ๋ณธ์ด๋ ๋ณผ๋ฅจ์ ์ค๋ ์ท์ ์ ์ฅํด๋๊ณ ๋ณต์ํ ์ ์๋ ๊ธฐ๋ฅ์ ๋งํ๋ค.
VSS๋ฅผ ํตํด ์ปดํจํฐ ์ ์ฒด๋ฅผ ๋ณต์ ์ง์ ์ผ๋ก ๋๋๋ฆฌ๊ฑฐ๋ ํน์ ํ์ผ/ํด๋๋ฅผ ์ด์ ๋ฒ์ ์ผ๋ก ๋๋๋ฆด ์ ์๋ค.
VSS ์ค์
- ๋ณต์ ์ง์ ๋ง๋ค๊ธฐ
- ๊ตฌ์ฑ - ์์คํ ๋ณดํธ ์ฌ์ฉ ์ค์
- ๊ตฌ์ฑ - ๋์คํฌ ๊ณต๊ฐ ์ค์
- ๋ง๋ค๊ธฐ - ์์คํ ๋ณต์
์ค์ต
cmd์์ ๋ช ๋ น์ด๋ฅผ ํตํด์๋ VSS ํ์ธ์ด ๊ฐ๋ฅํ๋ค.
(1) vssadmin list shadows ๋ช ๋ น์ด๋ฅผ ์ ๋ ฅ
- ๋ณต์ฌ๋ณธ์ด ์์ฑ๋๋ ๊ฒ์ ํ์ธํ ์ ์๋ค.
(2) mklink /d <๋งํฌ ํด๋> <์๋ ๋ณต์ฌ๋ณธ ๋ณผ๋ฅจ>\ ์ ๋ ฅ
- ๋งํฌ ํด๋: ์ฐ๋ฆฌ๊ฐ ์ ๊ทผํ ํด๋
- mklink /d c:\vssadmin_link \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\
** ์๋ ๋ณต์ฌ๋ณธ ๋ณผ๋ฅจ ์ ๋ ฅํ๊ณ ๋ฐฑ์ฌ๋์ ์ ๋ ฅํ๋ ๊ฒ ์์ง์๊ธฐ
(3) ํ์ผ ํ์๊ธฐ๋ก ํ์ธ ๊ฐ๋ฅ
C:\vssadmin_link๋ ๋ก์ปฌ ๋์คํฌ (C:)์ ์ ๊ทผํ์ ๋์ ๋์ผ
+) ShadowExplorer๋ฅผ ์ฌ์ฉํ์ฌ VSS๋ฅผ ํ์ธํ ์ ์๋ค.
-> ๋ฐ๋ก ๋งํฌ๋ฅผ ์์ฑํ ํ์ ์์ด ๋ณต์ ์ง์ ์ ์ ํํ ์ ์๋ค.
https://www.shadowexplorer.com/downloads.html
ShadowExplorer.com - Downloads
Downloads Here you can download the latest version of ShadowExplorer, a free replacement for the Previous Versions feature of Microsoft Windows® VistaTM / 7 / 8 / 10 / 11. You can restore lost or damaged files from Shadow Copies. However, it is by no mean
www.shadowexplorer.com
3. Windows Search
Windows ๊ฒ์ ๊ธฐ๋ฅ์ผ๋ก ์์ ํ์์ค ์์ด์ฝ์ ํด๋ฆญํ๊ฑฐ๋, Windows + S ๋จ์ถํค๋ฅผ ๋๋ฌ ์คํํ ์ ์๋ค.
Windows Indexing
- ๊ฒ์ ๊ธฐ๋ฅ์ ๊ตฌํํ๊ธฐ ์ํด ๋ฏธ๋ฆฌ Indexing ์์ ์ ์ํ
- ํ์ผ ์ด๋ฆ๊ณผ ์ ์ฒด ํ์ผ ๊ฒฝ๋ก๋ฅผ ํฌํจํ์ฌ ํ์ผ์ ๋ชจ๋ ์์ฑ์ด ์ธ๋ฑ์ฑ๋จ
- ํ
์คํธ๊ฐ ํฌํจ๋ ํ์ผ์ ๊ฒฝ์ฐ์๋ ์ฝํ
์ธ ๊น์ง ์ผ๋ถ ์ธ๋ฑ์ฑ๋จ
- ํ์ผ์ ์ญ์ ๋์๋๋ฐ ์ธ๋ฑ์ฑ์ด ๋์ด ์์ ๋, ์ปจํ ์ธ ๊น์ง ๋จ์์์ ์ ์์ด ์ ์ฉํจ
Windows.edb
- Windows Search์ ์ฌ์ฉํ๊ธฐ ์ํ Indexing ์ ๋ณด๊ฐ ์ ์ฅ๋์ด ์๋ค.
- path: %ProgramData%\Microsoft\Search\Data\Applications\Windows
Windows.edb ์จ๋ผ์ธ ์ํ์์ ์์งํ ๋๋ Windows Search(Wsearch) ์๋น์ค๋ฅผ ์ข ๋ฃ์์ผ์ผ ํ๋ค.
์๋น์ค ๋์ ์ค ๋ณต์ฌํ๊ฑฐ๋ ํฌ๋ ์ ๋๊ตฌ๋ก ์์ง ์ ์ ์์ ์ธ ๊ตฌ์กฐ๊ฐ ์๋ “Dirty” ์ํ๋ก ์์ง๋๋ค.
- Dirty ์ํ: ์์ฉ ํ๋ก๊ทธ๋จ์ด ๋ฐ์ดํฐ๋ฒ ์ด์ค๋ฅผ ์ฌ์ฉํ๋ ์ค์ ์ํ
- Clean ์ํ: ๋ฐ์ดํฐ๋ฒ ์ด์ค API๋ฅผ ์ฌ์ฉํ์ฌ ํธ๋์ญ์ ์ ๋ชจ๋ ์ฒ๋ฆฌํ ์ํ
์ค์ต
(1) ์๋น์ค๋ฅผ ์ด์ด Windows Search๋ฅผ ์ฐพ์์ค๋ค.
(2) Windows Search๋ฅผ ๋๋ธํด๋ฆญ ํ ๋ค์ ์์ ์ ํ์ "์ฌ์ฉ ์ ํจ"์ผ๋ก ์ค์ ํด์ค๋ค
์ค์ ํ ๋ค์ ์๋น์ค ์ค์ง ๋ฒํผ์ ํด๋ฆญํ๋ค.
(3) Windows.edb ๊ฒฝ๋ก๋ก ์ ์ํ์ฌ Windows.edb์ ๋ณต์ฌ๋ณธ์ ์์ฑํ๋ค.
๋ณต์ฌ๋ณธ์ ์ด๋ฆ์ copy_Windows.edb๋ก ๋ณ๊ฒฝํด์ฃผ์๋ค.
ํ์ง๋ง ๋๋ edb๊ฐ ์๊ณ dbํ์ผ๋ง ์๋ค. ์๋์ฐ 11 ์ด๋ผ์ ๊ทธ๋ฐ ๊ฒ ๊ฐ๋ค.
(4) ๋ณต์ฌ๋ณธ์ ์ํ๊ฐ Dirty์ธ์ง Clean์ธ์ง ํ์ธํ๊ธฐ ์ํด "esentutl /m <ํ์ผ์ด๋ฆ> | findstr State" ๋ช ๋ น์ด๋ฅผ ์ ๋ ฅํ๋ค.
cmd๋ฅผ ์ด์ด esentutl /m copy_Windows.edb | findstr State ๋ช ๋ น์ด๋ฅผ ์ ๋ ฅํ๋ฉด ํ์ผ ์ํ๊ฐ Clean์ธ ๊ฒ์ ํ์ธํ ์ ์๋ค.
(5) Clean Shutdown ์ํ์ ํ์ผ์ ๋ณด๊ธฐ ์ํด WinSearchDBAnalyzer๋ฅผ ๋ค์ด๋ก๋ํ๋ค.
https://moaistory.blogspot.com/2018/10/winsearchdbanalyzer.html
(6) WinSearchDBAnalyzer๋ฅผ ๊ด๋ฆฌ์ ๊ถํ์ผ๋ก ์คํํ์ฌ copy_Windows.edb ํ์ผ์ ์ด์ด์ค๋ค
(7) Time zones๋ฅผ UTC+9๋ก ์ค์ ํ๋ค.
-> C ๋๋ผ์ด๋ธ ์์ Indexing ๋์ด์๋ ๋ฐ์ดํฐ๋ค์ ํ์ธํ ์ ์๋ค.
4. Recycle Bin
ํด์งํต(Recycle Bin): ํ์ผ์ ์ญ์ ํ๊ณ , ๋ณต์ํ๊ฑฐ๋ ์๊ตฌ ์ญ์ ํ ์ ์๋ค.
ํ์ผ ํ์๊ธฐ ๋ณด๊ธฐ ์ค์ ์์ ์จ๊ธด ํญ๋ชฉ์ ํ์ํ๋ฉด ๋ก์ปฌ ๋์คํฌ (C:)์์ $Recycle Bin ํด๋๋ฅผ ํ์ธํ ์ ์๋ค.
์๋ณด์ฌ์ใ ใ ..
ํด์งํต ์์ด์ฝ
- ๋ชจ๋ ๋ณผ๋ฅจ์ ํด์งํต ํด๋๋ฅผ ํตํฉํ์ฌ ๋ณด์ฌ์ค๋ค.
- ๊ทธ๋ฌ๋ ํ๋์ ํด๋๋ก ์กด์ฌํ๋ ๊ฒ์ ์๋๋ค.
ํด์งํต ์ํฐํฉํธ(ํ์ผ ์ญ์ ์)
- path: <Volume>\$Recycle.Bin\<SID>\์ด๋ค.
- ์ญ์ ๋ ์๋ณธ ํ์ผ: $R<์์๋ฌธ์์ด 6์๋ฆฌ>.<์๋ณธ ํ์ผ ํ์ฅ์>
- ์ญ์ ๊ด๋ จ ๋ฉํ ๋ฐ์ดํฐ: $I<์์๋ฌธ์์ด 6์๋ฆฌ>.<์๋ณธ ํ์ผ ํ์ฅ์>
- ์๋ณธ ํ์ผ์ ๊ฒฝ๋ก, ํด์งํต์ผ๋ก ์ญ์ ๋ ์๊ฐ ๋ฑ์ ๋ํด ๋ด๊ฒจ์๋ค.
ํด์งํต ์ํฐํฉํธ(ํ์ผ ๋ณต์์)
- ์ญ์ ๋ ํ์ผ($R)์ ์ฌ๋ผ์ง๋ค
- ์ญ์ ๊ด๋ จ ๋ฉํ๋ฐ์ดํฐ ($I) ํ์ผ์ ๋จ์ ์๋ค.
ํด์งํต ์ํฐํฉํธ(ํด์งํต ๋น์ฐ๊ธฐ)
-
- ์ญ์ ๋ ํ์ผ($R) ๋ฐ ์ญ์ ๊ด๋ จ ๋ฉํ๋ฐ์ดํฐ ($I) ํ์ผ์ ๋ชจ๋ ์ฌ๋ผ์ง
- ๊ทธ๋ฌ๋, ๋ณต์๋์๋ ํ์ผ์ ๋ค์ ์ญ์ ํ์ ๋์๋ $I๊ฐ ๋จ์์๋ค
์ค์ต
๋จ๊ฒจ์ง ๊ธฐ์กด์ $I ํ์ผ์ธ ๋ฉํ ๋ฐ์ดํฐ๋ฅผ ๋ถ์ํ๊ธฐ ์ํด Windows File Analyzer๋ฅผ ๋ค์ด๋ก๋ํ๋ค.
MiTeC Homepage
www.mitec.cz
(1) Windows File Analyzer๋ฅผ ์ด์ด $RECYCLE.BIN\์ ์ด์ด์ค๋ค.
(2) ๋จ๊ฒจ์ง ๊ธฐ์กด์ $I ํ์ผ์ธ ๋ฉํ ๋ฐ์ดํฐ์ ๋ํ ํ์ผ ๊ฒฝ๋ก, ์ญ์ ๋ ์์ , ํฌ๊ธฐ ํ์ธ ๋ฑ์ ํ์ธํ ์ ์๋ค.
