Taco Tuesday~~~!!!

이벤트 로그 분석 이벤트 로그 크기가 약 68KB인 경우 특별한 로그 없음. (아마 이벤트 로그 디폴트 값?으로 예상) RDP 이벤트 로그는 NLA 사용에 따라 다름 Security.evtx Event ID 4624: 로그인 성공 로그 Event ID 4625: NLA를 끄면, 로그온 유형 10 클라이언트 주소, 계정 이름 Event ID 4778: Window Station에 세션 다시 연결 (계정 이름/IP) Event ID 4779: Window Station에 세션 연결 끊김 TerminalServices-RemoteConnectionManager Event ID 261 : Listener X received a connection (inbound connection) Event ID 1149: ..

Prefetch .pf 파일로 이루어져 있음. 마지막으로 실행된 128개의 파일에 대한 정보를 저장함. C:\Windows\prefetch Registry 1. ShimCache (or AppCompatCache) XP HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatibility\AppCompatCache (Non XP) HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatCache\AppCompatCache 2. MUI Cache (XP, 2000, 2003) HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache (Vista, 7, 2008..

파일 경로 C:\Windows\system32\config\ 파일 DEFAULT, DRIVERS, ELAM, SAM, SECURITY, SOFTWARE, SYSTEM [SAM] 시스템 사용자 목록 - SAM\Domain\Account\Users - SAM\Domain\Account\Users\Names Created On / Last Login Time

ConsoleHost_history.txt 해당 로그 확인 시, 해당 유저가 사용한 Powershell 명령어 로그를 확인할 수 있다. Powershell 명령어로도 확인 가능 (Get-History) 경로 %USER_PROFILES%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt Event 로그 로컬 Powershell 실행 Windows PowerShell.evtx EID 400 : 로컬이든 원격이든 PowerShell 활동 시작 EID 403 : PowerShell 활동 완료 EID 600 : WSMan과 같은 provider가 시스템에서 Powershell 활동 수행 Microsoft-Windows-P..