파일을 다운받아 열면 이벤트 뷰어 창이 뜬다.
1번 문제를 보면 가장 먼저 생성된 "일반"사용자 계정이름이다.
작업 범주가 사용자 계정관리 부분에 들어가서 이벤트 ID가 4720(사용자 계정을 만들었습니다.)인 부분을 찾는다.
밑에 그림과 같이 3개가 있는데 문제에도 강조 되어 있듯이 "일반"이다.
"가장 먼저 생성된"것부터 보자.
보안 ID(SID) 부분을 보게되면 숫자가 젹혀져 있는데 각 값이 의미하는 것은
S-1 : 시스템은 윈도우
5-21 : 시스템이 도메인 컨트롤러 이거나 단독 시스템
790723840-693588307-315668192 : 시스템의 고유한 숫자
사용자 식별ID(고유값)
500 : administrator
501 : Guest
502 : 키 배포 센터 (KDC) 서비스에서 사용 되는 사용자 계정 (krbtgt)
1000이상 : 일반사용자
(wmic useraccount get name,sid 명령어로 확인가능)
참조
https://technet.microsoft.com/ko-kr/library/dn743661(v=ws.11).aspx
JDazz 사용자 계정 이름을 가진, 가장 먼저 생성된 "일반" 사용자가 되겠다.
1,2 번 문제가 풀렸다. 그리고 3번 문제 SID History Injection 공격은
보안 식별자(SID)를 임의로 바꾸는 공격인데
작업 범주가 사용자 계정관리 부분에 들어가서 이벤트 ID가 4738(사용자 계정을 변경했습니다.)인 부분을 찾는다.
그리고 변경된 특성에 SID 기록이 변경되어있는 부분을 찾으면된다.
Answer : JDazz_2016-10-14 07:13:56_2016-10-14 22:00:04
'WarGame > Forensic' 카테고리의 다른 글
| [Crescendo] Event Log Problem 03 (0) | 2017.06.08 |
|---|---|
| [Crescendo] Event Log Problem 02 (0) | 2017.06.07 |
| [Crescendo] Prefetch Problem 03 (0) | 2017.06.07 |
| [Crescendo] Prefetch Problem 02 (0) | 2017.06.06 |
| [Crescendo] Prefetch Problem 01 (0) | 2017.06.06 |
