Windows System Forensics 에서 중요한 OS Artifacts 중 하나는 .evt 형식을 가지는 Windows Event Viewer Log file 입니다.
자신의 시스템에서는 관리도구 -> 이벤트 뷰어, 혹은 실행 -> eventvwr.msc 로 접근가능합니다.
01
XP 시스템에서는 응용 프로그램, 보안, 시스템에 대한 로그를 확인할 수 있습니다. 단 보안항목은 기본적으로는 기록되지 않습니다.
012
Windows 내장 Event viewer 는 개별 .evt 파일도 확인할 수 있지만 다른 시스템에서 복사한 .evt 파일을 보려고 하면 이벤트 로그 파일이 손상되었다는 메시지와 함께 내용을확인할 수 없게 됩니다.
012
따라서 본인의 시스템이 아닌 다른 시스템의 이벤트 로그를 확인하기 위해서는 EnCase의 Event Log Parser EnScript 등과 같은 외부 Tool을 사용하게 됩니다.
Windows의 내장 Event Viewer를 사용하기 위해서는 .evt 파일을 Hex Editor 등으로 수정해줘야 합니다.
그중 가장 간단한 방법은 fixevt 라는 tool 을 사용하는 것입니다.
fixevt.exe사용형식은 다음과 같습니다.
실행 후 repaired 라는 메시지가 나오면 완료된 것입니다. 이후 개별 .evt 파일을 Windows Event viewer 에서 확인하실 수 있습니다.
fixevt 라는 간단한 Tool을 이용하여 offline event log file 을 내장 event viewer로 확인하는 방법을 확인해 보았습니다.
'Investigation' 카테고리의 다른 글
| 언론 공개와 수사기법 (0) | 2009.11.05 |
|---|---|
| Seagate HDD 생산일자 확인 (2) | 2009.10.07 |
| 7/7 DDoS (0) | 2009.07.13 |
| Pagefile.sys에서 찾을 수 있는 것들 (2) | 2009.06.29 |
| Evidence Found in System Volume Info (0) | 2009.04.30 |
