DFIR - Event Log Forensics : System.evtx

  



Bu dökümanımızda System Event Logunu analiz edicez ilk olarak event loglar nedir ve system nedir bunlar hakkında bilgi edinelim.



Event log: İşletim sistemleri ve uygulamalar tarafından sistemde gerçekleşen olayların kaydedildiği bir veri günlüğüdür Windows işletim sisteminde olay günlükleri sistemdeki sorunları izlemek, güvenlik açıklarını tespit etmek, performans sorunlarını anlamak ve kullanıcı aktivitelerini takip etmek için kullanılır. her bir olayın kendisine ait event ıd’si bulunur.


System.evtx: Windows işletim sistemi bileşenleri tarafından oluşturulan olayları içerir. Örneğin, donanım sürücüleriyle ilgili sorunlar bu günlüklerde kayıtlıdır.


Bilgi edindiğimize göre analiz işlemimize geçelim.


İlk olarak FTK Imager ile security.evtx olay günlüğünü export etmemiz lazım FTK Imageri açıp export işlemimizi sağlıyoruz.


C:\Windows\System32\Winevt\Logs\System.evtx Yoluna gidiyoruz.






System.evtx dosyamıza sağ tık yapıp export files diyoruz ve export konumunu seçiyoruz.

Konumunu belirledikten sonra parse etmek için bazı araçlar var EvtxECmd, Event Logs Explorer gibi bu analiz işleminde Event Logs Explorer kullanacağız.




Export ettiğimiz System.evtx dosyasını aracımızda açalım.





Görüldüğü üzere System.evtx dosyamızın detaylı bir şekilde açıldığını görüyoruz birbirinden farklı event ıd’ler var.



öne çıkan event ıd’ler


7040:Bir hizmetin başlangıç türünün otomatikten isteğe bağlıya çevrildiğini bildiriyor.


1796: Bir servisle ilgili sorun yaşandığını ve servisin düzgün çalışmadığını gösteriyor.


10016: DCOM ile ilgili bir izin hatası belirli sistem bileşenlerinin gerekli izinlere sahip olmadığını göstermektedir.



Event Log Forensics Anlatım Videosu : https://www.youtube.com/watch?v=CNJEbarG2K0




Yorum Gönder

0 Yorumlar