[N0Named Wargame] [B] 유출된 자료 거래 사건[3]

Window eventviewer를 통해 계정이 삭제된 시각을 찾아낼 수 있다.

 

기록된 이벤트 로그의 의미를 파악할 수 있어야하는데, 이때 각각 기록된 로그의 의미는 각 로그가 가지는 이벤트 ID로 구분할 수 있다.

출처 : http://portable-forensics.blogspot.com/2014/11/windows-event-log.html

계정과 관련된 내용은 Security라는 이벤트소스를 통해 알 수 있다 !

 

FTK Imager 툴을 이용해

Windows - System32 - winevt - Logs 경로를 따라가면

Security.evtx 라는 파일이 있다. 이를 컴퓨터로 복구시켰다.

이를 열어보면 다음과 같다.

무수히 많은 event ID가 있는데, 그 중에서 계정삭제와 관련된 ID는 4726이다.

docs.microsoft.com/ko-kr/windows/security/threat-protection/auditing/event-4726

4726(S) 사용자 계정이 삭제되었습니다. (Windows 10) - Windows security

 

 

이벤트 ID가 4726인 로그를 발견하였고, 이에 대한 자세한 정보는 밑과 같다.

- 삭제된 시간 : 0220.23:52:57 (오후니까 11 ->23 으로 바꿔줘야 됨 ! )

- 사용자 이름 : cocktail