1. Description
Analyze the given Event Logs and answer the question.
2. Write up
2-1. Why did the user fail to Windows backup? (15 points)
사용자가 Windows 백업에 실패한 이유를 찾는 문제이다. 따라서 Windows 백업과 관련된 이벤트 로그 파일과 이벤트 ID 기반으로 검색을 했다.
OS 별로 이벤트 아이디가 다를 수 있기 때문에 우선적으로 해당 이벤트 로그 파일들이 어떤 OS에서 발생한 이벤트인지 확인해보면 Windows 10 18362임을 확인할 수 있다.
Windows 10에서 백업과 관련된 이벤트 로그는 Microsoft-Windows-Backup.evtx와 Application.evtx이다.
첫 번째로 Microsoft-Windows-Backup.evtx 이벤트 로그를 확인해보면 별다른 에러 로그를 볼 수 없었다.
두 번째로 Application.evtx 이벤트 로그를 확인해보면 2020-04-26 오전 12:55:25 시간에 에러 로그가 있음을 확인할 수 있다.
에러 로그의 상세 내용을 확인해보면 에러가 발생한 이유를 확인할 수 있다.
정답 : "파일에 바이러스 또는 기타 사용자 동의 없이 설치된 소프트웨어가 있기 때문에 작업이 완료되지 않았습니다."
2-2. Find all connected wireless AP SSIDs. (15 points)
연결된 모든 무선 AP SSID를 찾는 문제이다. 무선 AP와 관련된 이벤트는 Microsoft-Windows-WLAN-AutoConfig%4Operational.evtx에서 확인할 수 있다.
무선 AP와 관련된 이벤트 중 무선 연결과 관련된 이벤트 ID는 8001이다. 따라서 이벤트 ID가 8001인 이벤트로 찾아보면 무선 AP SSID를 찾을 수 있다.
정답 : KT_GiGA_2G_Wave2_1A36, Alpinelab, BBBB4444
2-3. Find the manufacturer, model and serial number of the external storage device(s) that the user connected. (20 points)
사용자가 연결한 외부 저장 매체의 제조사, 모델명, 시리얼 번호를 찾는 문제이다.
외부 저장 매체와 관련된 이벤트 로그는 Microsoft-Windows-Partition%4Diagnostic.evtx에서 확인할 수 있다. 내부 이벤트를 확인해보면 연결했던 흔적들을 다수 확인할 수 있고 각 로그 별 제조사, 모델명, 시리얼 번호가 적혀있다. 중복된 디바이스를 제외하면 아래와 같다.
Default view
Search
2-4. Write the list of ZIP files detected by AV on the user’s PC. (20 points)
안티바이러스에 탐지된 ZIP 파일 목록을 찾는 문제이다. 해당 문제는 이벤트 로그 파일만 주어졌기 때문에 ZIP 파일 목록을 찾을 수 있는 흔적은 몇 가지밖에 없다. 우선 안티바이러스 벤더사의 툴의 경우 이벤트 로그에 남지 않는 경우가 많다. 따라서 이 문제에서 말하는 안티바이러스는 Windows Defender일 가능성이 크다. Defender의 이벤트 로그는 Microsoft-Windows-Windows Defender%4Operational.evtx에서 확인할 수 있다.
Defender 관련된 이벤트 중 Defender가 탐지한 파일 목록과 관련된 이벤트 ID는 1116이다. 따라서 이벤트 ID가 1116인 이벤트를 찾아보면 Defender가 탐지한 파일을 볼 수 있다. 이 중에서 ZIP파일을 찾으면 된다.
정답 :