Windows Artifacts

Windows 아티팩트

제로부터 영웅이 될 때까지 AWS 해킹을 배우세요 htARTE (HackTricks AWS Red Team 전문가)!

HackTricks를 지원하는 다른 방법:

회사가 HackTricks에 광고되길 원하거나 PDF 형식의 HackTricks를 다운로드하려면 구독 요금제를 확인하세요!
공식 PEASS & HackTricks 굿즈를 구매하세요
The PEASS Family를 발견하세요, 저희의 독점 NFTs 컬렉션
**💬 Discord 그룹에 가입하거나 텔레그램 그룹에 가입하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
해킹 트릭을 공유하려면 HackTricks 및 HackTricks Cloud github 저장소에 PR을 제출하세요.

일반 Windows 아티팩트

Windows 10 알림

경로 \Users\<username>\AppData\Local\Microsoft\Windows\Notifications에 appdb.dat 데이터베이스(Windows Anniversary 이전) 또는 wpndatabase.db 데이터베이스(Windows Anniversary 이후)를 찾을 수 있습니다.

이 SQLite 데이터베이스 안에는 흥미로운 데이터를 포함할 수 있는 모든 알림(XML 형식)을 포함하는 Notification 테이블이 있습니다.

타임라인

타임라인은 방문한 웹 페이지, 편집된 문서 및 실행된 애플리케이션의 시간순 역사를 제공하는 Windows 특성입니다.

데이터베이스는 경로 \Users\<username>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db에 있습니다. 이 데이터베이스는 SQLite 도구나 WxTCmd 도구로 열 수 있으며 2개의 파일을 생성하여 TimeLine Explorer 도구로 열 수 있습니다.

ADS (대체 데이터 스트림)

다운로드된 파일에는 어떻게 인터넷, 인트라넷 등에서 다운로드되었는지를 나타내는 ADS Zone.Identifier가 포함될 수 있습니다. 일부 소프트웨어(브라우저와 같은)는 파일이 다운로드된 URL과 같은 추가 정보를 포함하는 경우가 있습니다.

파일 백업

휴지통

Vista/Win7/Win8/Win10에서 휴지통은 드라이브 루트(C:\$Recycle.bin)에 있는 폴더 **$Recycle.bin**에서 찾을 수 있습니다. 이 폴더에서 파일이 삭제되면 2개의 특정 파일이 생성됩니다:

$I{id}: 파일 정보(삭제된 날짜)
$R{id}: 파일의 내용

이러한 파일을 사용하여 삭제된 파일의 원래 주소와 삭제된 날짜를 얻을 수 있는 도구 Rifiuti를 사용할 수 있습니다(rifiuti-vista.exe를 Vista - Win10에 사용).

.\rifiuti-vista.exe C:\Users\student\Desktop\Recycle

볼륨 그림자 사본

그림자 사본은 사용 중인 파일 또는 볼륨의 백업 사본 또는 스냅숏을 만들 수 있는 Microsoft Windows에 포함된 기술입니다.

이러한 백업은 일반적으로 파일 시스템 루트의 \System Volume Information에 위치하며 이름은 다음 이미지에 표시된 UIDs로 구성됩니다:

ArsenalImageMounter를 사용하여 포렌식 이미지를 마운트하면 ShadowCopyView 도구를 사용하여 그림자 사본을 검사하고 그림자 사본 백업에서 파일을 추출할 수 있습니다.

레지스트리 항목 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore에는 백업하지 말아야 하는 파일 및 키가 포함되어 있습니다:

레지스트리 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS에는 Volume Shadow Copies에 대한 구성 정보도 포함되어 있습니다.

오피스 자동 저장 파일

오피스 자동 저장 파일은 다음 위치에 있습니다: C:\Usuarios\\AppData\Roaming\Microsoft{Excel|Word|Powerpoint}\

쉘 항목

쉘 항목은 다른 파일에 액세스하는 방법에 대한 정보를 포함하는 항목입니다.

최근 문서 (LNK)

Windows는 사용자가 파일을 열거나 사용하거나 생성할 때 다음 위치에 이러한 바로 가기를 자동으로 생성합니다:

Win7-Win10: C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\
Office: C:\Users\\AppData\Roaming\Microsoft\Office\Recent\

폴더가 생성되면 해당 폴더, 상위 폴더 및 상위 상위 폴더로의 링크도 생성됩니다.

이러한 자동으로 생성된 링크 파일에는 원본에 대한 정보가 포함되어 있으며 파일인지 폴더인지, 해당 파일의 MAC 시간, 파일이 저장된 위치의 볼륨 정보 및 대상 파일의 폴더가 포함됩니다. 이 정보는 파일이 삭제된 경우 해당 파일을 복구하는 데 유용할 수 있습니다.

또한, 링크 파일의 생성 날짜는 원본 파일이 처음 사용된 시간이며, 링크 파일의 수정 날짜는 원본 파일이 마지막으로 사용된 시간입니다.

이러한 파일을 검사하려면 LinkParser를 사용할 수 있습니다.

이 도구에서 2 세트의 타임스탬프를 찾을 수 있습니다:

첫 번째 세트:

파일 수정 날짜
파일 액세스 날짜
파일 생성 날짜

두 번째 세트:

링크 수정 날짜
링크 액세스 날짜
링크 생성 날짜.

첫 번째 세트의 타임스탬프는 파일 자체의 타임스탬프를 참조하며, 두 번째 세트는 연결된 파일의 타임스탬프를 참조합니다.

Windows CLI 도구 LECmd.exe를 실행하여 동일한 정보를 얻을 수 있습니다.

LECmd.exe -d C:\Users\student\Desktop\LNKs --csv C:\Users\student\Desktop\LNKs

점프리스트

이것들은 각 응용프로그램에서 나타나는 최근 파일들입니다. 응용프로그램에서 사용된 최근 파일 목록으로, 각 응용프로그램에서 액세스할 수 있는 목록입니다. 이들은 자동으로 생성되거나 사용자 정의될 수 있습니다.

자동으로 생성된 점프리스트는 C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\에 저장됩니다. 점프리스트는 초기 ID가 응용프로그램의 ID인 {id}.autmaticDestinations-ms 형식을 따릅니다.

사용자 정의 점프리스트는 C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\에 저장되며, 일반적으로 응용프로그램에 의해 생성됩니다. 파일에 중요한 일이 발생했기 때문에 (즐겨찾기로 표시된 경우일 수 있음)

어떤 점프리스트의 생성 시간은 파일에 처음 액세스한 시간을 나타내며, 수정된 시간은 마지막으로 액세스한 시간을 나타냅니다.

JumplistExplorer를 사용하여 점프리스트를 검사할 수 있습니다.

(JumplistExplorer에서 제공하는 타임스탬프는 점프리스트 파일 자체와 관련이 있음을 유의하십시오)

쉘백

쉘백이 무엇인지 알아보려면 이 링크를 따르세요.

Windows USB 사용

USB 장치가 사용되었음을 식별하는 것이 가능합니다. 이는 다음을 생성함으로써 식별할 수 있습니다:

Windows 최근 폴더
Microsoft Office 최근 폴더
점프리스트

일부 LNK 파일은 원본 경로를 가리키는 대신 WPDNSE 폴더를 가리킵니다:

WPDNSE 폴더의 파일은 원본 파일의 사본이며, 따라서 PC 재부팅 후에는 살아남지 못하며 GUID는 쉘백에서 가져옵니다.

레지스트리 정보

USB 연결된 장치에 대한 흥미로운 정보를 포함하는 레지스트리 키가 어떤 것인지 알아보려면 이 페이지를 확인하세요.

setupapi

USB 연결이 발생한 타임스탬프를 얻으려면 파일 C:\Windows\inf\setupapi.dev.log를 확인하십시오 (Section start를 검색).

USB Detective

USBDetective를 사용하여 이미지에 연결된 USB 장치에 대한 정보를 얻을 수 있습니다.

Plug and Play Cleanup

'Plug and Play Cleanup'이라고 알려진 예약된 작업은 오래된 드라이버 버전을 제거하기 위해 주로 설계되었습니다. 최신 드라이버 패키지 버전을 유지하는 것이 명시된 목적과는 달리, 온라인 소스에 따르면 지난 30일간 활성화되지 않은 드라이버도 대상으로 삼을 수 있다고 합니다. 따라서 지난 30일간 연결되지 않은 제거 가능한 장치의 드라이버는 삭제 대상이 될 수 있습니다.

해당 작업은 다음 경로에 위치합니다: C:\Windows\System32\Tasks\Microsoft\Windows\Plug and Play\Plug and Play Cleanup.

작업 내용을 보여주는 스크린샷이 제공됩니다:

작업의 주요 구성 요소 및 설정:

pnpclean.dll: 이 DLL은 실제 정리 프로세스를 담당합니다.
UseUnifiedSchedulingEngine: TRUE로 설정되어 있어 일반적인 작업 스케줄링 엔진을 사용함을 나타냅니다.
MaintenanceSettings:
주기 ('P1M'): 작업 스케줄러에게 정기적인 자동 유지 관리 중에 매월 정리 작업을 시작하도록 지시합니다.
마감 기한 ('P2M'): 작업이 두 달 연속 실패하면 비상 자동 유지 관리 중에 작업을 실행하도록 지시합니다.

이 구성은 드라이버의 정기적인 유지 관리와 정리를 보장하며, 연속적인 실패의 경우 작업을 재시도할 수 있는 조치를 제공합니다.

자세한 정보는 여기를 참조하세요: https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html

이메일

이메일에는 헤더와 내용 두 가지 흥미로운 부분이 포함되어 있습니다. 헤더에서는 다음과 같은 정보를 찾을 수 있습니다:

누가 이메일을 보냈는지 (이메일 주소, IP, 이메일을 리디렉션한 메일 서버)
이메일이 언제 보내졌는지

또한, References 및 In-Reply-To 헤더 내에서 메시지의 ID를 찾을 수 있습니다:

Windows 메일 앱

이 응용프로그램은 이메일을 HTML 또는 텍스트로 저장합니다. 이메일은 \Users\<username>\AppData\Local\Comms\Unistore\data\3\ 내의 하위 폴더에서 찾을 수 있습니다. 이메일은 .dat 확장자로 저장됩니다.

이메일의 메타데이터 및 연락처는 EDB 데이터베이스 내에서 찾을 수 있습니다: \Users\<username>\AppData\Local\Comms\UnistoreDB\store.vol

파일의 확장자를 .vol에서 .edb로 변경하고 ESEDatabaseView 도구를 사용하여 열 수 있습니다. Message 테이블 내에서 이메일을 볼 수 있습니다.

Microsoft Outlook

Exchange 서버 또는 Outlook 클라이언트를 사용할 때 MAPI 헤더가 있습니다:

Mapi-Client-Submit-Time: 이메일이 보내진 시스템 시간
Mapi-Conversation-Index: 쓰레드의 자식 메시지 수 및 쓰레드의 각 메시지의 타임스탬프
Mapi-Entry-ID: 메시지 식별자.
Mappi-Message-Flags 및 Pr_last_Verb-Executed: MAPI 클라이언트에 대한 정보 (메시지 읽음? 안 읽음? 응답함? 리디렉트됨? 오피스를 이탈함?)

Microsoft Outlook 클라이언트에서 모든 보낸/받은 메시지, 연락처 데이터 및 캘린더 데이터는 다음 위치의 PST 파일에 저장됩니다:

%USERPROFILE%\Local Settings\Application Data\Microsoft\Outlook (WinXP)
%USERPROFILE%\AppData\Local\Microsoft\Outlook

레지스트리 경로 HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook은 사용 중인 파일을 나타냅니다.

PST 파일을 열려면 Kernel PST Viewer 도구를 사용할 수 있습니다.

Microsoft Outlook OST Files

OST 파일은 Microsoft Outlook이 IMAP 또는 Exchange 서버와 구성될 때 생성되며 PST 파일과 유사한 정보를 저장합니다. 이 파일은 서버와 동기화되어 최대 50GB까지의 데이터를 지난 12개월 동안 유지하며 PST 파일과 동일한 디렉토리에 위치합니다. OST 파일을 보려면 Kernel OST viewer를 사용할 수 있습니다.

첨부 파일 검색

분실된 첨부 파일은 다음 위치에서 복구할 수 있습니다:

IE10: %APPDATA%\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook
IE11 및 이후: %APPDATA%\Local\Microsoft\InetCache\Content.Outlook

Thunderbird MBOX 파일

Thunderbird는 데이터를 저장하기 위해 MBOX 파일을 사용하며 이 파일은 \Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles에 위치합니다.

이미지 썸네일

Windows XP 및 8-8.1: 썸네일이 포함된 폴더에 액세스하면 이미지 미리보기를 저장하는 thumbs.db 파일이 생성되며 삭제 후에도 유지됩니다.
Windows 7/10: thumbs.db는 UNC 경로를 통해 네트워크에서 액세스할 때 생성됩니다.
Windows Vista 및 이후: 썸네일 미리보기는 %userprofile%\AppData\Local\Microsoft\Windows\Explorer에 thumbcache_xxx.db라는 파일로 중앙 집중화됩니다. Thumbsviewer 및 ThumbCache Viewer는 이러한 파일을 보는 데 사용되는 도구입니다.

Windows 레지스트리 정보

Windows 레지스트리는 체계적인 시스템 및 사용자 활동 데이터를 저장하며 다음 위치에 파일로 포함되어 있습니다:

다양한 HKEY_LOCAL_MACHINE 하위 키에 대한 %windir%\System32\Config.
HKEY_CURRENT_USER에 대한 %UserProfile%{User}\NTUSER.DAT.
Windows Vista 이상 버전은 %Windir%\System32\Config\RegBack\에 HKEY_LOCAL_MACHINE 레지스트리 파일을 백업합니다.
또한 프로그램 실행 정보는 Windows Vista 및 Windows 2008 Server 이후에 %UserProfile%\{User}\AppData\Local\Microsoft\Windows\USERCLASS.DAT에 저장됩니다.

도구

일부 도구는 레지스트리 파일을 분석하는 데 유용합니다:

레지스트리 편집기: Windows에 설치되어 현재 세션의 Windows 레지스트리를 탐색하는 GUI입니다.
레지스트리 탐색기: 레지스트리 파일을 로드하고 GUI로 탐색할 수 있게 해줍니다. 흥미로운 정보가 포함된 키를 강조하는 책갈피도 포함되어 있습니다.
RegRipper: 로드된 레지스트리를 탐색하고 흥미로운 정보를 강조하는 플러그인도 포함된 GUI를 제공합니다.
Windows Registry Recovery: 로드된 레지스트리에서 중요한 정보를 추출할 수 있는 또 다른 GUI 응용 프로그램입니다.

삭제된 요소 복구

키가 삭제되면 해당 사실이 표시되지만 해당 공간이 필요할 때까지 제거되지 않습니다. 따라서 Registry Explorer와 같은 도구를 사용하여 이러한 삭제된 키를 복구할 수 있습니다.

마지막 수정 시간

각 키-값에는 마지막으로 수정된 시간을 나타내는 타임스탬프가 포함되어 있습니다.

SAM

파일/하이브 SAM에는 시스템의 사용자, 그룹 및 사용자 비밀번호 해시가 포함되어 있습니다.

SAM\Domains\Account\Users에서는 사용자 이름, RID, 마지막 로그인, 마지막 로그인 실패, 로그인 횟수, 비밀번호 정책 및 계정 생성 시간을 얻을 수 있습니다. 해시를 얻으려면 파일/하이브 SYSTEM도 필요합니다.

Windows 레지스트리의 흥미로운 항목

pageInteresting Windows Registry Keys

실행된 프로그램

기본 Windows 프로세스

이 게시물에서 의심스러운 동작을 감지하기 위한 일반 Windows 프로세스에 대해 알아볼 수 있습니다.

Windows 최근 APPs

레지스트리 NTUSER.DAT의 Software\Microsoft\Current Version\Search\RecentApps 경로에는 실행된 응용 프로그램, 마지막 실행 시간, 실행 횟수에 대한 정보가 포함된 하위 키가 있습니다.

BAM (백그라운드 활동 모니터)

레지스트리 편집기로 SYSTEM 파일을 열고 SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID} 경로에서 각 사용자가 실행한 응용 프로그램에 대한 정보 및 실행 시간을 찾을 수 있습니다 ({SID}는 경로에 포함된 값입니다).

Windows Prefetch

Prefetching은 사용자가 가까운 미래에 액세스할 수도 있는 콘텐츠를 표시하는 데 필요한 리소스를 조용히 가져오는 기술로, 리소스에 빠르게 액세스할 수 있습니다.

Windows Prefetch는 실행된 프로그램의 캐시를 생성하여 더 빨리 로드할 수 있도록 합니다. 이러한 캐시는 C:\Windows\Prefetch 경로에 .pf 파일로 생성됩니다. XP/VISTA/WIN7에서는 128개 파일 제한이 있고 Win8/Win10에서는 1024개 파일 제한이 있습니다.

파일 이름은 {프로그램_이름}-{해시}.pf로 생성됩니다(해시는 실행 파일의 경로 및 인수에 기반함). W10에서 이러한 파일은 압축됩니다. 파일의 존재만으로도 프로그램이 어느 시점에 실행되었음을 나타냅니다.

파일 C:\Windows\Prefetch\Layout.ini에는 프리페치된 파일의 폴더 이름, 실행 횟수에 대한 정보, 실행 날짜 및 프로그램이 열어 둔 파일에 대한 정보가 포함되어 있습니다.

이러한 파일을 검사하려면 PEcmd.exe 도구를 사용할 수 있습니다:

.\PECmd.exe -d C:\Users\student\Desktop\Prefetch --html "C:\Users\student\Desktop\out_folder"

Superprefetch

Superprefetch는 prefetch와 동일한 목표를 가지고 있으며, 다음에 로드될 것을 예측하여 프로그램을 더 빨리 로드합니다. 그러나 prefetch 서비스를 대체하지는 않습니다. 이 서비스는 C:\Windows\Prefetch\Ag*.db에 데이터베이스 파일을 생성합니다.

이 데이터베이스에서는 프로그램의 이름, 실행 횟수, 열린 파일, 액세스된 볼륨, 전체 경로, 시간대 및 타임스탬프를 찾을 수 있습니다.

이 정보에는 CrowdResponse 도구를 사용하여 액세스할 수 있습니다.

SRUM

시스템 리소스 사용 모니터(SRUM)는 프로세스가 사용한 리소스를 모니터링합니다. W8에 등장하며, 데이터는 C:\Windows\System32\sru\SRUDB.dat에 위치한 ESE 데이터베이스에 저장됩니다.

다음 정보를 제공합니다:

AppID 및 경로
프로세스를 실행한 사용자
보낸 바이트
받은 바이트
네트워크 인터페이스
연결 기간
프로세스 기간

이 정보는 매 60분마다 업데이트됩니다.

이 파일에서 데이터를 얻을 수 있는 도구는 srum_dump입니다.

.\srum_dump.exe -i C:\Users\student\Desktop\SRUDB.dat -t SRUM_TEMPLATE.xlsx -o C:\Users\student\Desktop\srum

AppCompatCache (ShimCache)

AppCompatCache(ShimCache)은 Microsoft이 개발한 Application Compatibility Database의 일부로, 응용 프로그램 호환성 문제를 해결하기 위해 만들어졌습니다. 이 시스템 구성 요소는 다음을 포함하는 다양한 파일 메타데이터를 기록합니다:

파일의 전체 경로
파일의 크기
$Standard_Information (SI) 하위의 최종 수정 시간
ShimCache의 최종 업데이트 시간
프로세스 실행 플래그

이러한 데이터는 운영 체제 버전에 따라 레지스트리의 특정 위치에 저장됩니다:

XP의 경우, 데이터는 SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCache에 저장되며 96개의 항목을 수용합니다.
Server 2003 및 Windows 버전 2008, 2012, 2016, 7, 8 및 10의 경우, 저장 경로는 각각 512개 및 1024개의 항목을 수용하는 SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache입니다.

저장된 정보를 구문 분석하려면 AppCompatCacheParser 도구를 사용하는 것이 좋습니다.

Amcache

Amcache.hve 파일은 시스템에서 실행된 응용 프로그램에 대한 세부 정보를 기록하는 레지스트리 하이브입니다. 일반적으로 C:\Windows\AppCompat\Programas\Amcache.hve에서 찾을 수 있습니다.

이 파일은 최근 실행된 프로세스의 레코드를 저장하는 데 주목할 만하며, 실행 파일의 경로와 그들의 SHA1 해시를 포함합니다. 이 정보는 시스템에서 응용 프로그램의 활동을 추적하는 데 귀중합니다.

Amcache.hve에서 데이터를 추출하고 분석하기 위해 AmcacheParser 도구를 사용할 수 있습니다. 다음 명령은 Amcache.hve 파일의 내용을 구문 분석하고 결과를 CSV 형식으로 출력하는 방법의 예시입니다:

AmcacheParser.exe -f C:\Users\genericUser\Desktop\Amcache.hve --csv C:\Users\genericUser\Desktop\outputFolder

생성된 CSV 파일 중 Amcache_Unassociated file entries는 연관되지 않은 파일 항목에 대한 풍부한 정보를 제공하기 때문에 특히 주목할 가치가 있습니다.

가장 흥미로운 CVS 파일은 Amcache_Unassociated file entries입니다.

RecentFileCache

이 아티팩트는 C:\Windows\AppCompat\Programs\RecentFileCache.bcf에만 W7에서 찾을 수 있으며 일부 이진 파일의 최근 실행에 대한 정보를 포함합니다.

파일을 구문 분석하려면 RecentFileCacheParse 도구를 사용할 수 있습니다.

예약된 작업

C:\Windows\Tasks 또는 C:\Windows\System32\Tasks에서 추출하여 XML로 읽을 수 있습니다.

서비스

레지스트리에서 SYSTEM\ControlSet001\Services 아래에서 찾을 수 있습니다. 무엇이 실행될지와 언제 실행될지 확인할 수 있습니다.

Windows Store

설치된 애플리케이션은 \ProgramData\Microsoft\Windows\AppRepository\에서 찾을 수 있습니다. 이 저장소에는 시스템에 설치된 각 애플리케이션에 대한 로그가 StateRepository-Machine.srd 데이터베이스 내부에 있습니다.

이 데이터베이스의 Application 테이블에서 "Application ID", "PackageNumber", "Display Name" 열을 찾을 수 있습니다. 이 열에는 사전 설치된 애플리케이션 및 설치된 애플리케이션에 대한 정보가 포함되어 있으며 설치된 애플리케이션의 ID는 연속적이어야 합니다.

또한 레지스트리 경로에서 설치된 애플리케이션을 찾을 수 있습니다: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\ 그리고 설치 해제된 애플리케이션은 여기에서 찾을 수 있습니다: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\

Windows 이벤트

Windows 이벤트 내에서 나타나는 정보는 다음과 같습니다:

무슨 일이 있었는가
타임스탬프 (UTC + 0)
관련된 사용자
관련된 호스트 (호스트 이름, IP)
액세스된 에셋 (파일, 폴더, 프린터, 서비스)

로그는 Windows Vista 이전에는 C:\Windows\System32\config에 있었고, Windows Vista 이후에는 C:\Windows\System32\winevt\Logs에 있습니다. Windows Vista 이전에는 이벤트 로그가 이진 형식이었고, 그 이후에는 XML 형식이며 .evtx 확장자를 사용합니다.

이벤트 파일의 위치는 SYSTEM 레지스트리에서 **HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security}**에서 찾을 수 있습니다.

Windows 이벤트 뷰어 (eventvwr.msc) 또는 Event Log Explorer와 같은 다른 도구로 이를 시각화할 수 있습니다. 또는 Evtx Explorer/EvtxECmd.

Windows 보안 이벤트 로깅 이해

보안 구성 파일에 기록된 액세스 이벤트는 C:\Windows\System32\winevt\Security.evtx에 있습니다. 이 파일의 크기는 조정 가능하며, 용량이 가득 차면 이전 이벤트가 덮어씌워집니다. 기록된 이벤트에는 사용자 로그인 및 로그오프, 사용자 작업, 보안 설정 변경, 파일, 폴더 및 공유 자산 액세스가 포함됩니다.

사용자 인증을 위한 주요 이벤트 ID:

EventID 4624: 사용자가 성공적으로 인증됨을 나타냅니다.
EventID 4625: 인증 실패를 신호합니다.
EventIDs 4634/4647: 사용자 로그오프 이벤트를 나타냅니다.
EventID 4672: 관리 권한으로 로그인을 나타냅니다.

EventID 4634/4647 내의 하위 유형:

Interactive (2): 직접 사용자 로그인.
Network (3): 공유 폴더 액세스.
Batch (4): 일괄 처리 프로세스 실행.
Service (5): 서비스 시작.
Proxy (6): 프록시 인증.
Unlock (7): 암호로 화면 잠금 해제.
Network Cleartext (8): IIS에서의 평문 암호 전송.
New Credentials (9): 액세스에 대한 다른 자격 증명 사용.
Remote Interactive (10): 원격 데스크톱 또는 터미널 서비스 로그인.
Cache Interactive (11): 도메인 컨트롤러 연락 없이 캐시된 자격 증명으로 로그인.
Cache Remote Interactive (12): 캐시된 자격 증명으로 원격 로그인.
Cached Unlock (13): 캐시된 자격 증명으로 잠금 해제.

EventID 4625의 상태 및 하위 상태 코드:

0xC0000064: 사용자 이름이 존재하지 않음 - 사용자 이름 열거 공격을 나타낼 수 있습니다.
0xC000006A: 올바른 사용자 이름이지만 잘못된 암호 - 암호 추측 또는 무차별 대입 시도가 있을 수 있습니다.
0xC0000234: 사용자 계정 잠금 - 여러 번의 로그인 실패로 인한 무차별 대입 공격을 나타낼 수 있습니다.
0xC0000072: 계정 비활성화 - 비활성화된 계정에 대한 무단 액세스 시도가 있을 수 있습니다.
0xC000006F: 허용된 시간 외 로그인 - 설정된 로그인 시간 외에 액세스 시도가 있음을 나타내며, 무단 액세스의 가능성이 있습니다.
0xC0000070: 워크스테이션 제한 위반 - 무단 위치에서 로그인 시도가 있을 수 있습니다.
0xC0000193: 계정 만료 - 만료된 사용자 계정으로의 액세스 시도가 있을 수 있습니다.
0xC0000071: 암호 만료 - 오래된 암호로의 로그인 시도가 있을 수 있습니다.
0xC0000133: 시간 동기화 문제 - 클라이언트와 서버 간의 큰 시간 차이는 pass-the-ticket과 같은 더 정교한 공격을 나타낼 수 있습니다.
0xC0000224: 필수 암호 변경 필요 - 빈번한 필수 변경은 계정 보안을 불안정하게 만들려는 시도일 수 있습니다.
0xC0000225: 보안 문제가 아닌 시스템 버그를 나타냅니다.
0xC000015b: 거부된 로그온 유형 - 사용자가 서비스 로그온을 실행하려고 하는 등의 무단 로그온 유형으로의 액세스 시도가 있을 수 있습니다.