Digital Forensics Part 46 Event Log Forensics
Online (active) live system ကုိေတာ့ incident Response အတြက္သာ အဓိကထားသုံးတာမ်ားပါတယ္။ Offline (System Power Off) အေနအထားမွာလဲ Event Log က investigation လုပ္လုိ႕ရပါတယ္။ ဘာလုိ႕လဲဆုိရင္ Event Log က Non-Volatile Information ျဖစ္လုိ႕ပါ။
Power Off သြားရင္လဲ Log က်န္ပါတယ္။
Power Off သြားရင္လဲ Log က်န္ပါတယ္။
Event log ဟာ Binary Data Base ျဖစ္တဲ့အတြက္ .evt .evtx file extension ျဖစ္ပါတယ္။ Event View ကေနကုိယ္လုိအပ္တဲ့ System Log, Application log , Security log စသည့္ျဖင့္ တစ္ခုျခင္း ေရြးၿပီး save ႏုိင္ပါတယ္။ save လုိ႕ရမယ့္ File extension ေတြကေတာ့ .evtx .cvs .xml .cvs တုိ႕ျဖစ္ပါတယ္။
ဖြင္လုိ႕ရတဲ့ Event View ေတြအမ်ားၾကီးပါ။ အျမင္ရွင္းရွင္းၾကည့္လုိ႕ရတာနဲ႕ မရတာပဲ ကြာပါတယ္။
ဖြင္လုိ႕ရတဲ့ Event View ေတြအမ်ားၾကီးပါ။ အျမင္ရွင္းရွင္းၾကည့္လုိ႕ရတာနဲ႕ မရတာပဲ ကြာပါတယ္။
Event log file ေတြအကုန္ရွိတဲ့ေနရာကေတာ့ C:\Windows\System32\winevt\Logs
ျဖစ္ပါတယ္။ ေနာက္ပုိင္း MS Window , MS Server မွာေနရာတူပါတယ္။
ျဖစ္ပါတယ္။ ေနာက္ပုိင္း MS Window , MS Server မွာေနရာတူပါတယ္။
Registry ေနရာကေတာ့ Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog
Event Log ကေန ရႏုိင္မဲ့ အခ်က္အလက္ေတြကေတာ့
Password အေၿပာင္းအလဲ Time and Date အေၿပာင္းအလဲ
User logon နဲ႔ logout OS start နဲ႔ Stop time
User account permission အေၿပာင္းအလဲ
USB attachment အခ်က္အလက္ေတြ ရႏုိင္ပါတယ္။
User logon နဲ႔ logout OS start နဲ႔ Stop time
User account permission အေၿပာင္းအလဲ
USB attachment အခ်က္အလက္ေတြ ရႏုိင္ပါတယ္။
အေရးပါတဲ့ Event log ေတြကေတာ့
Windows Event log,System Event Log, Security Event Log,Application Event Log,Directory နဲ႕ DNS Event Log
Windows Event log,System Event Log, Security Event Log,Application Event Log,Directory နဲ႕ DNS Event Log
MS server မွေတာ့ log အခ်ဳိ႕က သီးျခား enable လုပ္ေပးထားမွသာေပၚပါတယ္။ User ကလဲ Log ေတြကုိ မက်န္ေအာင္ disable လုပ္ထားလုိ႔ရပါ
တယ္။ save ယူမဲ့ စက္က System Time မမွန္ရင္လဲ အခက္ခဲရွိပါတယ္။
Computer Name Usernames Date Time ေတြလဲ ခ်ိန္းထားႏုိင္ပါတယ္။
log ေတြကုိ အျခားေနရာမွာလဲ သိမ္းဆည္းထားတတ္ပါတယ္။
တယ္။ save ယူမဲ့ စက္က System Time မမွန္ရင္လဲ အခက္ခဲရွိပါတယ္။
Computer Name Usernames Date Time ေတြလဲ ခ်ိန္းထားႏုိင္ပါတယ္။
log ေတြကုိ အျခားေနရာမွာလဲ သိမ္းဆည္းထားတတ္ပါတယ္။
Law Enforcement ေတြသာအသုံးၿပဳေနတဲ့ Forensics tools ေတြမွာေတာ့ investigatorကေန အခ်ိန္ကုန္ေအာင္ Event view ေခၚ file path ေတြ လုိက္ရွာၿပီး save စရာ ရွာစရာ မလုိအပ္ပါဘူး ကုိယ္လုိခ်င္တဲ့ အပုိင္းကုိသာ filter သုိ႕မဟုတ္ Click လုပ္ရုံပါပဲ။ တစ္ကယ္တန္းေတာ့ Forensics Tools ဆုိတာကလဲ ရွိတဲ့ Open Source ေတြရဲ႕ အားသာခ်က္ေတြကုိ ေရြးခ်ယ္ၿပီး ေပါင္းစပ္ထားတာပါ။
Event Log forensics ဟာ computer Forensics မွာ အေရးၾကီးတဲ့ အစိတ္အပုိင္းမွာ ပါ၀င္ပါတယ္။ဘယ္လုိ Case ကုိပဲစစ္စစ္ ေနာက္ဆုံး
စစ္ေဆးၿပီး ရလဒ္ေရးသာရာမွာ မပါမျဖစ္တဲ့ ေနရာကေနပါ၀င္ပါတယ္။
စစ္ေဆးၿပီး ရလဒ္ေရးသာရာမွာ မပါမျဖစ္တဲ့ ေနရာကေနပါ၀င္ပါတယ္။
Comments