본 게시글은 윈도우 버전에 따라 남는 로그 및 아티팩트는 다를 수 있습니다. 공부 및 분석 과정에서 참고하기 바라며 되도록 많은 정보를 남기려고 합니다. 부족한 정보 등 기타 의견은 메일바랍니다.
시간될 때마다 추가 예정
Windows
1 계정
1.1 계정 생성
Security.evtx
- Event ID: 4724
SAM
- Users
$MFT
- NTUSER.DAT 생성 날짜
- SAM 레지스트리와 다소 시간차 있음
1.2 계정 삭제
Security.evtx
- Event ID: 4726
Microsoft-Windows-WMI-Activity/Operational.evtx
- Message: DeleteInstance
1.3 계정 정책
Microsoft-Windows-GroupPoilicy/Operational.evtx 보통은 AD환경에서 자주 볼 수 있는 내용
- 계정 정보 검색 이력
- 도메인 컨트롤러 탐색 이력
- 정책 다운로드 이력
1.4 계정 로그인 & 로그아웃
Security.evtx
- Event ID: 4624(로그인), 4634(계정 로그오프), 4647(사용자 로그오프)
- 분석 시 로그인/로그아웃 짝을 맞추기 위해서는 로그온 ID가 필요하다.
System.evtx
- Event ID: 7001 (환경 개선 프로그램용 사용자 로그온 알림)
Microsoft-Windows-User Profiles Service.evtx
- Event ID: 5
2. 시스템 시간 변경
Security.evtx
- Event ID: 4616
System.evtx
- Event ID: 1 (고유한 ID 값을 가지지 않음)
3. 방화벽(Defender)
Microsoft-Windows-Windows Firewall With Advanced Security/Firewall.evtx
- 방화벽 설정 변경 이력 확인
Microsoft-Windows-Windows Defender/Operational.evtx
- 악성 파일 탐지 및 조치 이력
- 설정 변경 이력
4. 프로그램 실행
REGISTRY
- NTUSER.DAT - UserAssist
- 유저 별 프로그램 실행 이력
- SYSTEM - AppCompatCache
- AmCache.hve
- 호환성 관련 이력
Prefetch
- 프로그램 실행 이력
Microsoft-Windows-Application-Experience/Program-Compatibility-Assistant.evtx
- Event ID: 17 파일 실행이력(호환성 관련)
System.evtx
- Event ID: 10028
5. 파일 열람
REGISTRY
- SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU
6. SMB 관련
Microsoft-Windows-SmbClient/Connectivity.evtx
- Event ID: 30803 (침해사고 시 공격자가 SMB로 연결하려는 흔적이 종종 있음)
7. 데이터베이스
7.1 MSSQL
Application.evtx
- Event ID: 15457 - xp_cmdshell 명령어
- Event ID: 18456 - 로그인 실패
- Event ID: 19019 - MSSQL 서비스 종료