Windows Event Log Viewer (evtx view)

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

소개

[그림 1] Windows Event Log Viewer 실행화면

[그림 1] Windows Event Log Viewer 실행화면

Windows Event Log Viewer는 TZWorks가 개발한 도구이며, 상용도구이다. 최신 업데이트는 2014년 4월 9일이며, 최신 버전은 0.0.7.6버전이다. 본 항에서는 최신버전인 0.0.7.6버전을 사용하였다. Windows Event Log Viewer는 TZWorks에서 개발한 Windows Eventlog Parser의 GUI형태이며 Windows, Mac, Linux에서 사용 가능하다. Windows XP, Vista, Windows 7, Windows 8, Windows 서버 환경의 라이브 시스템 또는 수집한 Windows event log를 파싱하여 csv, bodyfile 형식으로 결과를 출력한다. USB, Password Change와 같은 명확한 event log의 경우 추가로 보고서 생성 기능을 제공한다. Windows Event Log Viewer의 실행화면은 [그림 1] 과 같다.

사용법

Event log를 분석하기 위해선 File 메뉴의 Open을 선택해 *.evtx파일을 불러와야 한다. 자동으로 event log 파일이 있는 경로가 열리고 분석할 파일을 선택하면 [그림 2]와 같이 좌측의 Objects 패널에서 Event log파일의 분석한 결과가 0x10000단위로 나타난다.

[그림 2] Windows Event Log Viewer 분석 결과

[그림 2] Windows Event Log Viewer 분석 결과

1.png을 선택할 경우 해당 위치의 헤더 분석 결과와 string table, template table의 위치 및 값이 Data패널에 출력된다. 2.png을 선택할 경우 string table에 해당하는 부분의 분석한 결과가 출력된다. 3.png을 선택할 경우 template table에 해당하는 부분의 분석한 결과가 출력된다. 4.png을 선택할 경우 그 이후 각 Record의 파싱된 정보를 볼 수 있다. 옵션 메뉴를 이용하면 data 패널의 분석결과를 raw data, Slot data 방식으로도 확인할 수 있다. Fileter메뉴의 Between datas을 선택하면 이벤트가 발생한 시간과 끝난 시간을 기점으로 필터링할 수 있다. 그 밖에 Fileter메뉴의 Event ID을 선택하면 원하는 Event ID로 필터링 할 수 있고 Find String을 하면 slot data의 문자열을 검색할 수 있다. 이 밖에 Report메뉴를 이용해 기본적으로 저장된 Report방식 및 사용자가 지정한 cmdfile 내용을 바탕으로 보고서를 작성할 수 있다. cmdfile은 Windows Eventlog Parser의 cmdfile과 동일하다.

도구 기능

Windows Event log Viewer Parser는 NTFS Log파일 중 event log파일을 파싱하여 한글 깨짐 없이 결과를 출력해준다. 보고서 기능사용 시 ‘|’를 구분자로 하여 결과를 출력한다. 시간 정보의 경우 결과 출력 후 한국 시간에 맞추기 위해 +9 시간을 해주어야 한다.

수사 활용 방안

Windows Event log Viewer는 GUI에 능숙하지 못한 사용자가 Windows Eventlog Parser의 기능을 사용자고자 할 시 유용하게 사용될 수 있다. 모든 기능은 Windows Eventlog Parser와 동일하나 한 번에 하나의 *evtx만 파싱하는 단점이 존재한다.