/* 프로그램 실행 환경 : 윈도우 10 */
accessdata.com/product-download/ftk-imager-version-4-5
FTK Imager Version 4.5
AccessData provides digital forensics software solutions for law enforcement and government agencies, including the Forensic Toolkit (FTK) Product.
accessdata.com
* 보안 로그
: 유효하거나 유효하지 않은 로그온 시도 및 파일 생성, 열람, 삭제 등의 리소스 사용에 관련된 이벤트를 기록한다. 감사로그 설정을 통해 다양한 보안 이벤트 저장이 가능하다.
아래는 이벤트 로그의 종류이고, 이벤트 로그에 대해서 더 알고 싶다면 아래 블로그를 참고하자.
kali-km.tistory.com/entry/Windows-Event-Log-1
Windows Event Log (1) – 이벤트 로그의 개념
1. 이벤트 로그 로그란 감사 설정된 시스템의 모든 기록을 담고 있는 데이터라 할 수 있다. 이러한 데이터에는 성능, 오류, 경고 및 운영 정보 등의 중요 정보가 기록되며, 특별한 형태의 기준에
kali-km.tistory.com
달리고 달려서 세번째 문제~ 몰랐는데 이번 과제 양이 많네요....따흑
동거자가 있었구나...계정이 삭제된 시간?
나는 처음에...구글 계정인줄 알고 ㅋㅋㅋㅋㅋㅋ
왜!! 우리집 메인데스크탑에 구글계정 짱많음...털리기 딱좋은듯 ㄷㄷ
아니 그래서...ㅎ 그런줄 알았는데 가만히 생각해보니까 윈도우도 계정을 여러개 만들 수 있자내~
아하 이거군 싶었죠....
계정을 만들면~ user 목록 중에 존재하지 않을까? 라는 생각에서 FTK Imager로 가보자
[root]/Users 경로로 가주면, 유저네임이 딱 뜬다.
nonamed는 메인 계정인 것 같다. 왜냐믄 컴퓨터 이름 자체가 nonamed거등
귀여운 cocktail이라는 이름을 가진 계정이 있다.
칵테일을 좋아하는 동거자님의 계정을 찾아보면 딱히 정보를 얻을 수 있는 파일은 보이지 않는다.
문제에 나온 것처럼 동거자의 계정이 삭제되었기 때문이겠죠?
동거자의 계정이 삭제된 시각을 알아야 하는데, 보안 로그를 확인하면 될 것 같다.
[root]/Windows/System32/winevt/Logs/Security.evtx
보안 로그가 저장된 위의 경로를 따라서 파일을 찾아서 Export하자.
보안 로그 파일을 열기 위해 프로그램 설치는 따로 필요 없는데,
윈도우에서 제공하는 이벤트 뷰어 프로그램이 있기 때문이다.
윈도우는 이벤트 뷰어 프로그램을 통해서 이벤트 로그를 볼 수 있게 해준다.
보면, 610개의 이벤트가 저장되어 있다.
이걸 다 찾아보면...엄...컴퓨터를 제대로 사용하지 못하는 인간이 되겠군
찾기 작업을 이용해서, cocktail이라는 계정이름이 포함된 로그만 찾아보자!
무슨 변화가 있나 살펴보기 위해서 다음찾기를 연타하고 있었는데
갑자기 뜬...사용자가 계정을 삭제했습니다.
아무런 생각없이 넘어갈 뻔 했꾼.
이게 칵테일인지 먼지 어케 아는 걸까...하다가 최대화를 딱 눌렀더니 다 나오네여
nonamed 컴퓨터에서 cocktail이라는 계정이 삭제됐네요?
로그된 날짜, 즉 계정이 삭제된 날짜를 의미하는 정보도 있네여
~ 끗 ~
너무 잠이오니까 나머지 한문제는 내일 일어나서 풀까? 고민이 되는군요
숙제 이렇게 많은 줄 알았더라면..미리..풀엇을..것인데....흑