일단 구매자의 동거자가 있었고, 계정이 삭제되었다고 하니 Users 폴더 밑을 먼저 가봤다. 'cocktail'과 'nonamed' 계정이 보이는데.. 아마 'cocktail'이 아닐까 싶다.
정확히 삭제된 계정을 보기 위해 이벤트 로그를 보자. 이벤트 로그는 %SystemRoot%\System32\winevt\Logs 밑에 위치한다.
그 중 계정 삭제 관련 로그는 security.evtx에 쌓일 것이다.
system.evtx랑 헷갈릴 수도 있는데, system.evtx는 서비스 실행 여부나 파일 시스템, 디바이스 오류 등의 정보를 기록하고 security.evtx는 보안 관련된 이벤트 로그, Windows 로그온, 네트워크 등 다양한 로그를 기록한다고 한다.
디지털 포렌식 아티팩트 & 증거 분석 기법 공유 | 인섹시큐리티
1.FullEventLogView를 이용하여 Eventlog를 간단하게 분석 가능 로컬 컴퓨터의 이벤트, 네트워크에 있는 원격 컴퓨터의 이벤트 및 .evtx 파일에 저장된 이벤트 확인 가능 이벤트 소스 이름, 유형, 이벤트
www.forensic-artifact.com
파일 추출 후 이벤트 뷰어 > 저장된 로그 열기로 열어보자.
여기서 'cocktail'을 검색하면 바로 나온다...!
728x90
'Wargame > N0Named Wargame' 카테고리의 다른 글
| [N0Named Misc] CalCulateit (0) | 2021.05.20 |
|---|---|
| [N0Named Misc] 아무 의미 없는 것들도... (0) | 2021.05.20 |
| [N0Named Forensic] infect (0) | 2021.05.19 |
| [N0Named Forensic] [C] 어제 뭐 했어? (0) | 2021.05.19 |
| [N0Named Forensic] [A] 길에서 주어온 만두 (0) | 2021.05.19 |