Taco Tuesday~~~!!!

이벤트 로그 분석 이벤트 로그 크기가 약 68KB인 경우 특별한 로그 없음. (아마 이벤트 로그 디폴트 값?으로 예상) RDP 이벤트 로그는 NLA 사용에 따라 다름 Security.evtx Event ID 4624: 로그인 성공 로그 Event ID 4625: NLA를 끄면, 로그온 유형 10 클라이언트 주소, 계정 이름 Event ID 4778: Window Station에 세션 다시 연결 (계정 이름/IP) Event ID 4779: Window Station에 세션 연결 끊김 TerminalServices-RemoteConnectionManager Event ID 261 : Listener X received a connection (inbound connection) Event ID 1149: ..

AmCache으로 알 수 있는 것실행 파일의 목록, 전체 경로 확인파일의 최초 실행 시간, 삭제 시간 확인경로C:\Windows\appcompat\Programs\AmCache.hve분석 전 사용 프로그램Eric Zimmerman 툴 사용 https://ericzimmerman.github.io/#!index.mdAmcacheParser (Amcache.hve를 csv로 바꿔줌)Registry Explorer (Amcache.hve 확인)Timeline Explorer (csv 파일을 쉽게 보여줌)Kape (아티팩트 수집)Kape를 이용하여 아티팩트 수집Kape 다운로드 후 gkape.exe 실행 (gui 용 kape) Use Target options 선택 > Target source에서 대상 드라이브..

Prefetch .pf 파일로 이루어져 있음. 마지막으로 실행된 128개의 파일에 대한 정보를 저장함. C:\Windows\prefetch Registry 1. ShimCache (or AppCompatCache) XP HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatibility\AppCompatCache (Non XP) HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatCache\AppCompatCache 2. MUI Cache (XP, 2000, 2003) HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache (Vista, 7, 2008..

파일 경로 C:\Windows\system32\config\ 파일 DEFAULT, DRIVERS, ELAM, SAM, SECURITY, SOFTWARE, SYSTEM [SAM] 시스템 사용자 목록 - SAM\Domain\Account\Users - SAM\Domain\Account\Users\Names Created On / Last Login Time

ConsoleHost_history.txt 해당 로그 확인 시, 해당 유저가 사용한 Powershell 명령어 로그를 확인할 수 있다. Powershell 명령어로도 확인 가능 (Get-History) 경로 %USER_PROFILES%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt Event 로그 로컬 Powershell 실행 Windows PowerShell.evtx EID 400 : 로컬이든 원격이든 PowerShell 활동 시작 EID 403 : PowerShell 활동 완료 EID 600 : WSMan과 같은 provider가 시스템에서 Powershell 활동 수행 Microsoft-Windows-P..