[crescendo] Event Log Problem 03

김세연

인가되지 않은 클라우드 공유 프로그램의 설치 흔적을 발견했다고 한다.

제공된 이벤트 로그는 다음과 같다.

구하려고 하는 정보에 따라 봐야할 이벤트 로그가 무엇인지 알 필요가 있을 것 같다.

 

1번부터 살펴보자.

---

1번은 설치된 비인가 프로그램의 실행파일 이름이다.

프로그램에 대한 정보를 봐야하므로 Application.evtx를 살펴보자.

비인가 프로그램 중에서도 클라우드 공유 프로그램이라는 것을 잊지말자.

 

저번에도 이벤트 로그를 살펴볼 때 사용한 툴인 Event Log Explorer을 통해 열어보았다.

오른쪽 스크롤을 보면 되게 많은 event들이 있는 것을 확인할 수 있다.

이벤트 id 11707은 프로그램이 정상 설치 된 기록을 확인할 수 있다.

실행을 했으니 정상설치 되었을 것이라 생각되어 필터링을 해보았다.

 

그랬더니 세 가지 이벤트가 필터링 되었다.

내용을 보면 Dropbox Update Helper, Adobe Reader, Google Update Helper이다.

클라우드 공유 프로그램은 이 셋 중에 Dropbox가 가장 유력하다.

 

따라서 1번 답은 Dropbox

---

2번은 1번 프로그램의 설치 완료 시점을 구하는 것이다.

1번을 풀 때 필터링 한 id인 11707이 프로그램의 정상 설치를 나타내므로 해당 id의 시간이 바로 2번 답이라고 할 수 있다.

 

따라서 2번 답은 2016-10-13 12:25:36

---

3번은 

1번 프로그램이 방화벽 예외에 등록된 시점을 구하는 것이다.

그래서 제공된 event log 중 firewall에 해당되는 event log를 살펴보려고 한다.

 

방화벽과 관련한 event id를 살펴보자.

방화벽 설정이 변경된 경우의 event id는 4950이다.

 

근데 필터링 해보니까 아무런 event도 나오지 않았다.

근데 Description을 보니까 A Windows Defender Firewall setting has changed.가 몇몇 보여서 Text in description에 해당 문구로 필터링을 해주었다.

 

그래서 15개의 이벤트를 확인할 수 있었다.

근데 Descrption을 보니까 다른게 Value 밖에 없고 Modifying Application은 공란으로 되어있었다.

Modifying Application에 Dropbox가 있어야하는데,,

 

그래서 Text in description에 Dropbox을 넣고 필터링 해봤다.

그랬더니 딱 하나 이벤트가 나왔다.

 

따라서 3번 답은 2016-10-13 12:30:00

---

최종 flag는 Dropbox_2016-10-13 12:25:36_2016-10-13 12:30:00