이벤트 파일

니코니코니 문제 푼 기념

이벤트 파일을 뜯어보겠어요

 

 

문제 풀면서는 이것저것 뜯어보았지만.. 윈도우에서 이벤트 파일은 아래 경로에 있습니다

C:\Windows\System32\winevt\Logs

외워두면 편해질것..

 

저의 개인정보가 가득담긴 evtx파일을 열어보겠음

문제에서도 사용한 Security.evtx파일 입니다.

요론게 보이네요

 

니코니코니 문제에서 봤던 4672 이런건 이벤트 ID라고 하는데

위에 사진 내용 분석해보면

4798	User Accout Management	- 사용자의 속성이 조회되었음을 의미 (권한이나 그룹같은거) - 보통 관리자가 계정 속성 확인 시에 발생
4672	Special Logon	- 특수 권한이 있는 계정이 로그온 했으 ㄹ때 발생 - 공격 흔적 볼 때 가장 중요한 이벤트임 (왜냐면 보통 관리자로 로그인하니까..)
4624	Logon	- 계정이 실제로 로그온 했음을 의미 - 세부 코드 보면 로그온 유형이 나옴 (이 값에 따라서 원격접속, 네트워크 로그인, 대화형 로그인까지 구별 가능하다.)
5379	User Account Management	- 자격 증명 관리자에서 자격 증명이 읽혀졌음을 의미 - 윈도우즈에 저장된 계정정보에 접근하면 기록되는 이벤트

 

Security.evtx가 보통 그럼 어떤 내용을 저장하는지 볼까여

 

1. 로그온/로그오프 관련

- 4624: 로그온 성공

- 4625: 로그온 실패

- 4634: 로그오프

- 4672: 관리자 권한 로그인

- 원격 데스크톱, 네트워크 접근 등도 포함

 

2. 계정 관리

- 4720: 새 사용자 계정 생성

- 4722: 계정 활성화

- 4723/4724: 암호 변경/ 재설정

- 4725: 계정 비활성화

- 4726: 계정 삭제

- 4732/4733: 그룹 멤버쉽 변경

 

3. 권한 사용

- 4673: 특수 권한 서비스 호출

- 4674: 권한 있는 개체 접근 시도

- 4964: 특수 그룹 로그온

 

4. 정책 변경

- 4719: 시스템 감사 정책 변경

- 4739: 도메인 정책 변경

 

5. 객체 접근 (파일/레지스트리/서비스)

- 4663: 개체에 접근 시도(파일 열기, 삭제 등등)

- 4656: 개체 핸들 요청

 

6. 기타

- 1102: 보안 로그 지워짐

- 4616: 시스템 시간 변경

- 4648: 명시적 자격 증명 사용

 

 

한번 이벤트 직접..기록을 해보고 싶은디 흠 시스템 시간 한번 건들여보겠습니다

시간을 바꾸러..

아부다비 가고싶어서 아부다비로 함

 

오 찾았다

 

이전 시간이랑 새 시간도 뜨는걸 볼 수 있습니당