Forensics/DFC

[2020 DFC] 2020 디지털포렌식 챌린지 - 104 - Event Log Analysis

pental 2020. 9. 28. 15:15

 

#1 - Question

 

1.    Why did the user fail to Windows backup? (15 points)

2.    Find all connected wireless AP SSIDs. (15 points)

3.    Find the manufacturer, model and serial number of the external storage device(s) that the user connected. (20 points)

4.    Write the list of ZIP files detected by AV on the user’s PC. (20 points)

5.    When did the user perform the VPN connection and disconnection? (yyyy-mm-dd hh:mm UTC + 0) (30 points)

[ 사용 프로그램 ]

1. Magnet Axiom

2. Log Parser

1.    Why did the user fail to Windows backup? (15 points)

 

#2 - Keyword : windows backup
#3 - keyword : fail
#4 - Detail

 

WindowsBackup을 시작과 종료, 오류가 난 시간을 확인할 수 있다.

<Data Name="SourceSnapStartTime">1601-01-01T00:00:00.0000000Z</Data>
<Data Name="SourceSnapEndTime">2020-04-25T15:43:01.6815940Z</Data>
<Data Name="PrepareBackupStartTime"><TimesList><Time Time="2020-04-25T15:43:01.723Z" /><Time Time="2020-04-25T15:43:05.676Z" /></TimesList></Data>
<Data Name="PrepareBackupEndTime"><TimesList><Time Time="2020-04-25T15:43:01.728Z" /><Time Time="2020-04-25T15:43:06.226Z" /></TimesList></Data>
<Data Name="BackupWriteStartTime"><TimesList><Time Time="2020-04-25T15:43:01.729Z" /><Time Time="2020-04-25T15:43:06.232Z" /></TimesList></Data>
<Data Name="BackupWriteEndTime"><TimesList><Time Time="2020-04-25T15:43:03.622Z" /><Time Time="2020-04-25T15:55:16.601Z" /></TimesList></Data>
<Data Name="TargetSnapStartTime">2020-04-25T15:55:19.7993209Z</Data>
<Data Name="TargetSnapEndTime">2020-04-25T15:55:22.1474176Z</Data>

Error Log

<Data Name="BackupSuccessLogPath">C:\WINDOWS\Logs\WindowsBackup\Backup-22-02-2020_18-31-35.log</Data>
<Data Name="BackupFailureLogPath">C:\WINDOWS\Logs\WindowsBackup\Backup_Error-22-02-2020_18-31-35.log</Data>

Error Cause

<Data Name="BackupFlags">0x00000008</Data>

BackupFlags가 0x00000008라고 명시되어 있다.

Causes of error “0x00000008”
The 0x00000008 error may be caused by windows system files damage.
The corrupted system files entries can be a real threat to the well being of your computer.
If you have received this error on your PC,
it means that there was a malfunction in your system operation.
Common reasons include incorrect or failed installation or uninstallation of software
that may have left invalid entries in your Windows registry,
consequences of a virus or malware attack,
improper system shutdown due to a power failure or another factor,
someone with little technical knowledge
accidentally deleting a necessary system file or registry entry,
as well as a number of other causes.

Result : Windows System의 파일의 손상

2.    Find all connected wireless AP SSIDs. (15 points)

 

#5 - Keyword : wireless
#6 - keyword : AP

 

총 97개의 이벤트 로그가 확인이 되었다.

 

#7

 

SSID를 발견할 수 있다. Keyword를 "BBBB4444"로 놓고 검색을 진행한다.

 

#7 - Keyword : BBBB4444

 

총 48개가 발견이 되었다.

 

#6 - Same

 

BBBB4444 키워드를 지워주고 11001을 확인하다 보면 KT_GIGA_2G_Wave2_1A36을 발견할 수 있다.

키워드에 넣어준다.

 

#7 - Keyword : KT_GIGA_2G_wave_1A36

 

13개가 발견이 되었고 6번 사진과 같이 다시 훑어보면 "AlpineLab"을 확인할 수 있다.

 

#8 - AlpineLab

 

검증을 하기 위해 "AlpineLab"을 키워드로 넣어준다.

 

#9 - Keyword : AlpineLab

 

34개가 발견이 되었다.

결론적으로 종합해보면, BBBB4444 (48), AlipneLab (34), KT_GIGA_2G_wave_1A36 (13) = 95

62403 이벤트를 제외한 95개의 이벤트와 동일하다.

Result : SSID [BBBB4444, AlipneLab,KT_GIGA_2G_wave_1A36]

3.    Find the manufacturer, model and serial number of the external storage device(s) that the user connected. (20 points)

 

#10 - USB

 

첨부파일 참조

 

보고서.pdf
0.17MB

 

4.    Write the list of ZIP files detected by AV on the user’s PC. (20 points)

 

5.    When did the user perform the VPN connection and disconnection? (yyyy-mm-dd hh:mm UTC + 0) (30 points)

 

#11 - Keyword

 

키워드에 %vpn%7045를 넣어준다.

 

#12 - Time

 

LogParser을 이용하면 다음과 같이 입력하면 된다.

LogParser.exe -i:evt "select timeGenerated,EventID,Message From "system.evtx" where message like '%vpn%'"
C:\Program Files (x86)\Log Parser 2.2>LogParser.exe -i:evt "select timeGenerated,EventID,Message From "system.evtx" where message like '%vpn%'"
TimeGenerated       EventID Message
------------------- ------- -------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2020-04-26 00:48:05 7045    시스템에 서비스가 설치되었습니다. 서비스 이름: OpenVPN Interactive Service 서비스 파일 이름: "C:\Program Files\OpenVPN\bin\openvpnserv.exe" 서비스 유형: 사용자 모드 서비스 서비스 시작 유형: 자동 시작 서비스 계정: LocalSystem
2020-04-26 00:48:05 7045    시스템에 서비스가 설치되었습니다. 서비스 이름: OpenVPN Legacy Service 서비스 파일 이름: "C:\Program Files\OpenVPN\bin\openvpnserv.exe" 서비스 유형: 사용자 모드 서비스 서비스 시작 유형: 요청 시 시작 서비스 계정: LocalSystem
2020-04-26 00:48:05 7045    시스템에 서비스가 설치되었습니다. 서비스 이름: OpenVPNService 서비스 파일 이름: "C:\Program Files\OpenVPN\bin\openvpnserv2.exe" 서비스 유형: 사용자 모드 서비스 서비스 시작 유형: 요청 시 시작 서비스 계정: LocalSystem

Statistics:
-----------
Elements processed: 6482
Elements output:    3
Execution time:     0.25 seconds

 

첨부파일 참조

 

보고서.pdf
0.15MB

 

 

저작자표시 비영리