![[N0Named Forensic] [B] 유출된 자료 거래 사건[3]](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FeFlZs7%2Fbtq5hj1DPbY%2FAuqSpjy6BQs0ebfiZOgZp1%2Fimg.png)
728x90
일단 구매자의 동거자가 있었고, 계정이 삭제되었다고 하니 Users 폴더 밑을 먼저 가봤다. 'cocktail'과 'nonamed' 계정이 보이는데.. 아마 'cocktail'이 아닐까 싶다.
정확히 삭제된 계정을 보기 위해 이벤트 로그를 보자. 이벤트 로그는 %SystemRoot%\System32\winevt\Logs 밑에 위치한다.
그 중 계정 삭제 관련 로그는 security.evtx에 쌓일 것이다.
system.evtx랑 헷갈릴 수도 있는데, system.evtx는 서비스 실행 여부나 파일 시스템, 디바이스 오류 등의 정보를 기록하고 security.evtx는 보안 관련된 이벤트 로그, Windows 로그온, 네트워크 등 다양한 로그를 기록한다고 한다.
디지털 포렌식 아티팩트 & 증거 분석 기법 공유 | 인섹시큐리티
1.FullEventLogView를 이용하여 Eventlog를 간단하게 분석 가능 로컬 컴퓨터의 이벤트, 네트워크에 있는 원격 컴퓨터의 이벤트 및 .evtx 파일에 저장된 이벤트 확인 가능 이벤트 소스 이름, 유형, 이벤트
www.forensic-artifact.com
파일 추출 후 이벤트 뷰어 > 저장된 로그 열기로 열어보자.
여기서 'cocktail'을 검색하면 바로 나온다...!
728x90
'Wargame > N0Named Wargame' 카테고리의 다른 글
| [N0Named Misc] CalCulateit (0) | 2021.05.20 |
|---|---|
| [N0Named Misc] 아무 의미 없는 것들도... (0) | 2021.05.20 |
| [N0Named Forensic] infect (0) | 2021.05.19 |
| [N0Named Forensic] [C] 어제 뭐 했어? (0) | 2021.05.19 |
| [N0Named Forensic] [A] 길에서 주어온 만두 (0) | 2021.05.19 |