USB & Prefetch분석 & Event Log

USB Removable Storage Devices

 - Plug and Play 관리자가이벤트를받게된다.

   - PnpManager 는USB disk 의firmware 에서“device descriptor” 를찾는다.

   - device descriptor 에는제조사, 일련번호, 드라이버정보등이들어있다.

   - setupapi.log에 기록이 남아 있다.

 

HKLM\System\CurrentControlSet\Enum

 - 시스템에 존재하는 하드웨어 정보를 담고 있다.

 

HKLM\System\CurrentControlSet\Enum\USBTOR

 - 접속되었던 USB정보를 볼 수 있다.

 - Disk&Ven_BMKT&Prod_MemoRive&Rev_PMAP

 - Disk&Ven_SAMSUNG&Prod_UFD&Rev_1100

 - 디스크 & 만든 곳 & 제품명 & 버전 등 입력되어 있다.

 - 회사와 제품이 똑같아도 하위 값은 버전마다 인증 값이 다르다.

 

Prefetch분석

 - Application Prefetch파일을분석을통해시스템에서실행되었던프로그램과최근실행된시각, 실행횟수등의정보를획득할수있음
   - %windir%\Prefetch\이미지명-디렉토리해쉬.pf
 - Boot Prefetch파일을분석하면부팅시로드되었던드라이버, DLL 등의정보를획득할수있음
   - %windir%\Prefetch\NTOSBOOT-B00DFAAD.pf

 

 - WUAUCLT.EXE : 로그온

 

 - 파일 시스템 분석 툴

 

Event Log

 - 툴

 

 - test.evt파일의 내용중 eventid가 528인것만 csv파일로 옮긴다.

 

 - 520번은 시스템 시간이 변경된 이벤트

 

 - LogonEvent ID를 이용하여 시스템에 접근한 사용자와 접근시간 등 을 확인 할 수 있다.

 

 - logon / logoff시간을 이용한 접속시간 분석

 

Evaluating Account Management Events

 - 많이 사용되는 것

   - 636 Member added to local security group 

   - 637 Member removedfrom local security group

 

 Logparserquery for Account Management Events

 

 Interpreting File and Other Object Access Events

 - PID 4번일 경우 시스템 프로세스를 의미하며 원격 사용자가 로컬 시스템의 파일에 접근

 

Event ID 567

 - 각 파일 핸들이 사용한 특정 접근 유형에 대한 정보를 알 수 있다.

출처 : http://blog.naver.com/jaegals/30116102157  

[출처] USB & Prefetch분석 & Event Log|작성자 Wookyi