Taco Tuesday~~~!!!

이벤트 로그 분석 이벤트 로그 크기가 약 68KB인 경우 특별한 로그 없음. (아마 이벤트 로그 디폴트 값?으로 예상) RDP 이벤트 로그는 NLA 사용에 따라 다름 Security.evtx Event ID 4624: 로그인 성공 로그 Event ID 4625: NLA를 끄면, 로그온 유형 10 클라이언트 주소, 계정 이름 Event ID 4778: Window Station에 세션 다시 연결 (계정 이름/IP) Event ID 4779: Window Station에 세션 연결 끊김 TerminalServices-RemoteConnectionManager Event ID 261 : Listener X received a connection (inbound connection) Event ID 1149: ..

AmCache으로 알 수 있는 것실행 파일의 목록, 전체 경로 확인파일의 최초 실행 시간, 삭제 시간 확인경로C:\Windows\appcompat\Programs\AmCache.hve분석 전 사용 프로그램Eric Zimmerman 툴 사용 https://ericzimmerman.github.io/#!index.mdAmcacheParser (Amcache.hve를 csv로 바꿔줌)Registry Explorer (Amcache.hve 확인)Timeline Explorer (csv 파일을 쉽게 보여줌)Kape (아티팩트 수집)Kape를 이용하여 아티팩트 수집Kape 다운로드 후 gkape.exe 실행 (gui 용 kape) Use Target options 선택 > Target source에서 대상 드라이브..

Prefetch .pf 파일로 이루어져 있음. 마지막으로 실행된 128개의 파일에 대한 정보를 저장함. C:\Windows\prefetch Registry 1. ShimCache (or AppCompatCache) XP HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatibility\AppCompatCache (Non XP) HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatCache\AppCompatCache 2. MUI Cache (XP, 2000, 2003) HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache (Vista, 7, 2008..

파일 경로 C:\Windows\system32\config\ 파일 DEFAULT, DRIVERS, ELAM, SAM, SECURITY, SOFTWARE, SYSTEM [SAM] 시스템 사용자 목록 - SAM\Domain\Account\Users - SAM\Domain\Account\Users\Names Created On / Last Login Time

ConsoleHost_history.txt 해당 로그 확인 시, 해당 유저가 사용한 Powershell 명령어 로그를 확인할 수 있다. Powershell 명령어로도 확인 가능 (Get-History) 경로 %USER_PROFILES%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt Event 로그 로컬 Powershell 실행 Windows PowerShell.evtx EID 400 : 로컬이든 원격이든 PowerShell 활동 시작 EID 403 : PowerShell 활동 완료 EID 600 : WSMan과 같은 provider가 시스템에서 Powershell 활동 수행 Microsoft-Windows-P..

링크파일 (.lnk) LNK 파일은 흔히 링크 파일이라고 부른다. 윈도우 운영체제에서 바로가기를 생성하는데 사용된다. 링크 파일 포맷 ShellLinkHeader (default) 기본적인 헤더로 식별 정보, 시간 정보, 대상 파일 크기, 대상 파일 특성 등의 정보가 저장된다. LinkTargetIDList (optional) ShellLinkHeader의 HasLinkTargetIDList 플래그가 설정되어 있을 때만 존재하는 구조 링크된 대상의 다양한 정보를 리스트 형태로 구성해 놓은 구조 LinkInfo (optional) ShellLinkHeader의 HasLinkInfo 플래그가 설정되어 있을때만 존재하는 구조 링크 대상을 참조하기 위한 정보를 가진 구조이다. StringData (optiona..