네트워크 트래픽 및 이벤트 로그 기록 확인 프로그램

2016년 까지 개발되고 지금은 개발 및 배포가 중단됨

그나마 github 에 어느 유저가 올려놓은게 있어서 사용은 가능함

설치해보니 설치 잘되는것이 확인됨

https://github.com/riverar/messageanalyzer-archive

몇일전 지랄맞은 파티션에 대해 확인 중이였는데...그 지랄맞은건 플스4 디스크였다.....된장

물론 지금 검색된 자료는 과거의 버젼으로 지금 확인되는 파티션은 신형구조라 일부 다를수 있지만, GPT구조를 가지고 15개의 파티션으로 쪼갠것은 동일하다

그외 특이점으로는 암호화되었다는거? 근데 1번째 URL에서 확인되는것처럼 암호화된 파일이라고 표기된거 보면....데이터 조작을 막기 위해 암호화 했긴했을것같다. 

저널에서 확인되는 p s 4의 바이너리 검새하였으나 발견되지 않는 상태고, 데이터 전체가 비할당 영역에 난수로 된거봐서는 삭제했던가 아니면 암호화로 보임

참고한 자료

www.psu.com/forums/threads/ps4-hdd-has-15-partitions.323781/

bbs.ruliweb.com/ps/board/300421/read/19725362

www.psdevwiki.com/ps4/Files_on_the_PS4#Partitions

ccibomb.tistory.com/1181?category=948290

이 사이트에 x-way 사용 메뉴얼이 잘 정리되어있어서 남긴다. 페이지가 많아 인쇄를 않하기에...제발 삭제하지 않아주셨으면 좋겠다

암호화 걸려있는 파티션 정보에서 GPT 구조를 2개의 블로그를 통해 확인할 수 있었다....

X-WAY, EnCase에서 파티션 파싱이 제대로 되지 않으며, GPT 구조는 MBR 구조를 가지고 있지 않나보다...한참 헤맸다.

하지만 구조만 알았지 결국 내부 데이터는 파싱 실패....ㅠㅠㅠㅠ 망할

jackpark88.blogspot.com/2017/09/gpt.html

s0ng.tistory.com/entry/%EB%94%94%EC%8A%A4%ED%81%AC-%ED%8F%AC%EB%A0%8C%EC%8B%9D-GPT-%ED%8C%8C%ED%8B%B0%EC%85%98-%EB%B6%84%EC%84%9D

항상 사이트가 폐쇄될지 모른다는 불안감에 인쇄하여 첨부하는 쫄보....ㄷㄷㄷ ㅋㅋ

어느 거지같은 파일시스템에 대해 확인하던 중 좋은 블로그 내용이 있어서 참고용으로 남긴다.

m.blog.naver.com/sjhmc9695/221330217938

매우 좋은 정보

port139.hatenablog.com/entry/2019/03/23/091740

RDP 및 ID 1149 "원격 데스크톱 서비스 : 사용자 인증 성공 :"

참고 : Google 번역을 사용하여 일본어를 영어로 번역했습니다.
감사합니다, Google.

요약:

• Windows 10 : Alice의 계정이 RDP를 통해 성공적으로 로그온되면 ID 1149가 기록됩니다.
• Windows 10 : RestrictedAdmin 옵션을 지정하면 사용자 이름과 도메인이 비어 있습니다.
• Windows 10 : NLA를 끄고 Rdesktop으로 로그온하면 ID 1149가 기록되지 않습니다.

----------

이벤트 ID 1149는 어떤 종류의 사용자 작업을 기록합니까? Windows 10 환경에서 기록을 확인합시다.

Windows 10 (1809)에서 원격 데스크톱을 활성화합니다. NLA가 켜져 있습니다.

Windows Server 2019에서 "mstsc.exe"를 시작합니다. IP 주소가 연결 대상으로 지정됩니다.

Alice 계정이 성공적으로 로그온되면 ID 1149가 "Microsoft-Windows-TerminalServices-RemoteConnectionManager / Operational"에 기록됩니다.

사용자가 비밀번호를 잘못 입력하는 등 인증에 실패한 경우 ID 1149는 기록되지 않습니다.

RDP 연결을 끊고 다시 연결하면 ID 1149가 기록됩니다.

사용 Remmina를 RDP 클라이언트로. 로그온이 성공하면 ID 1149가 기록됩니다.

mstsc에 지정된 / restrictedadmin 옵션으로 실행됩니다. (레지스트리 설정을 변경하고 RestrictedAdmin 모드를 활성화했습니다.)

로그온에 성공하면 ID 1149가 기록되지만 사용자 이름과 도메인은 비어 있습니다.

루프백 주소에서 포트 전달이 사용되는 경우.

다른 사용자가 로그온하고 세션 중재가 발생하고 "아니오"를 선택합니다. 이 경우에도 ID 1149가 기록됩니다. (이 화면이 표시되면 Alice 계정이 성공적으로 로그인 된 것입니다. ID 4624가 기록됩니다.)

다음으로 NLA를 끕니다.

rdesktop을 RDP 클라이언트로 사용합니다. 이 경우 Alice 계정이 성공적으로 로그온 되어도 ID 1149는 기록되지 않습니다 .

<추가>

Windows 7 RDP에서는 다음 화면을 볼 수 있습니다. 그러나 Windows 10에서 동일한 상황을 재현 할 수 없었습니다.

그래서 @ grayfold3d 에서 댓글을 받았습니다 ! 감사합니다!
자세한 내용은 그의 트윗을 참조하십시오.

.RDP 파일을 만들고 끝에 다음을 추가했습니다.

 enablecredsspsupport : i : 0

예상했던 다음 화면이 표시되었습니다! 

그래서 이벤트 로그를 확인했습니다. ID 1149는 기록되지 않았습니다.

위 화면이 표시된 후 Alice가 성공적으로 로그온하더라도 ID 1149는 기록되지 않습니다.

</ add> 

[참고]
ID 1149의 녹화 패턴은 Windows 7과 Windows 10에서 다릅니다.

PS
그건 그렇고, 나는 mstsc "/ public"옵션을 몰랐습니다. 이 옵션은 레지스트리 및 비트 맵 캐시를 억제합니다.

https://yamanxworld.blogspot.com/2015/01/public.html

확인 환경 : Windows Server 2019 1809, Windows 10 1809, 표준 시간대 UTC

참조 URL :

ponderthebits.com

cyberforensicator.com

https://www.13cubed.com/downloads/rdp_flowchart.pdf

RDP 이벤트 로그 DFIR
https://dfironthemountain.wordpress.com/2019/02/15/rdp-event-log-dfir/
dfironthemountain.wordpress.com

UserAssist

UserAssist에 대한 정보를 레지스트리에 별도로 보관

사용자가 실행한 프로그램에 대한 정보를 획득할 수 있음

사용자별 환경설정으로 NTUSER.DAT에 저장

실행된 프로그램 별로 실행 횟수와 마지막 실행된 시간등의 정보가 기록되어 있음

ROT 13으로 인코딩 되어있음

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

​

UserAssist 분석

분석방법 :

마지막 실행 시각이 부팅 시각과 유사한 프로그램을 확인

count가 1인 프로그램 중 의심되는 확장자 등을 가진 프로그램을 (Dropper일 가능성이 높음)확인

이동형 저장 매체에서 실행된 프로그램이 복사되어 실행된 흔적을 (USB를 통한 악성코드 감염 의심) 확인

출처 : blog.naver.com/dostjsdkalsd/222099849082