| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
- 3wayhandshaking
- suninatas
- 포렌식
- 앱
- 칼리리눅스
- 포트스캔
- artifact
- KaliLinux
- 자바복습
- 볼라틸리티
- 백준
- 컴공
- 버프스위트
- CTF
- 와이어샤크
- 자바입문
- picoCTF
- 9012
- 소프트스퀘어드
- 문제풀이
- Forensic
- 아티팩트
- ReverseEngineering
- follina
- 메모리포렌식
- Burpsuite
- 혼자공부하는자바
- 안드로이드리버싱
- pico
- baekjoon online judge
- Today
- Total
컴퓨터공학 전공생의 보안 도전기✌
[Crescendo] Event Log Problem 02 본문
문제
풀이
event log에서 원격 접속 로그인임을 알 수 있는 정보가 무엇인지를 찾아보았다. 그 중 계정 로그인 이벤트 감사에 대한 내용을 찾게 되었다. 성공적인 로그인 시에는 이벤트 ID가 4624 이며, 아래와 같이 로그온 유형이 번호에 따라 나눠진다는 것을 알게 되었다. 이 중 원격 로그인은 로그온 유형 3, 10인데 3은 파일 공유와 관련된 것이고, 원격 접속은 10인 것 같아서 두 가지 기준을 가지고 필터링을 하여 찾아보았다.
아래 두 사이트를 참고하였다.
https://kali-km.tistory.com/entry/Windows-Event-Log-1
Windows Event Log (1) – 이벤트 로그의 개념
1. 이벤트 로그 로그란 감사 설정된 시스템의 모든 기록을 담고 있는 데이터라 할 수 있다. 이러한 데이터에는 성능, 오류, 경고 및 운영 정보 등의 중요 정보가 기록되며, 특별한 형태의 기준에
kali-km.tistory.com
Security & Intelligence 이글루코퍼레이션
01. 개요원격 데스크톱(Remote Desktop Protocol : RDP)은 마이크로소프트사 Windows OS의 구성요소로 ITU-T.128 어플리케이션 프로토콜의 확장이다. 최초 1996년 Windows NT 4.0에서 Terminal Service Client로 출시되었고
www.igloosec.co.kr
처음에는 로그온 유형 3인가 싶었는데 굉장히 log가 많고, 보안 ID 및 계정 정보가 다 null id, anonymous 등으로 떠서 문제에 부합하지 않는 듯하여 뺐다. 그랬더니 아래와 같이 로그온 유형 10의 log를 찾을 수 있었다.
최초로 원격 접속이 성공했던 시각은 2016-10-14 오전 7:02:10
접속을 시도한 로컬 계정 이름은 DevJDoe
부서의 IP 주소는 192.168.16.11
FLAG: 2016-10-14 07:02:10_DEVJDOE_192.168.16.11
'문제풀이 > Digital Forensic' 카테고리의 다른 글
| [Crescendo] Prefetch Problem 3 (0) | 2022.04.09 |
|---|---|
| [Crescendo] Anti Forensic - File Delete 1 (0) | 2022.03.26 |
| [Crescendo] Anti Forensic - Steganography (0) | 2022.03.26 |
| [CTF-D] Network Forensic - 당신이 플래그를 찾을 수 있을까? (0) | 2022.02.17 |
| [CTF-D] Network Forensic - 조용할수록 더 귀를 기울일 수 있습니다 (0) | 2022.02.17 |
