Deletion behavior Artifacts

* TIP 글은 Case 분석 시 참고할만한 내용 혹은 분석 과정에서 발견한 흔적에 대해 실험하고 연구한 내용을 간단히 작성한 글입니다.
This post is related case study or DFIR artifacts research.

* 본 글에서 상세한 내용은 언급되지 않습니다. 자세한 내용은 junhyeong.lee@plainbit.co.kr 메일로 연락 주시면 감사하겠습니다.
This post is so simple, If you are interested contact to me(junhyeong.lee@plainbit.co.kr)

TIP!

본 내용은 내부 발표 자료 중 일부를 발췌 한 것입니다.
This is an excerpt of some of the internal presentation materials.

  1. 이벤트로그는 파일과 레코드 단위로 삭제가 가능합니다. 이벤트 로그 파일에서 레코드만 별도로 삭제할 수 있고, 이벤트 로그에서 제외하고자 하는 레코드만 제외하고 새로 파일을 생성해 이벤트 로그 레코드를 파일에서 삭제할 수 있습니다. 이벤트 로그 레코드는 이벤트 ID 외 레코드 ID가 존재하고, 레코드 ID는 CPU Tick Count를 이용해 생성되고 부여됩니다. 이벤트 로그가 생성되는 과정에서 일부 이벤트 로그 레코드가 삭제되면 레코드 ID 흐름에 공백이 발생하게 됩니다. 단, 컴퓨터를 On/Off할 경우 이벤트 로그 레코드 ID 공백이 발생하므로 레코드 삭제와 관련하여 판단 시 주의해야 합니다.
    Event logs can be deleted by file and record. Only records can be deleted separately from the event log file, and event log records can be deleted from the file by creating a new file except for the records that you want to exclude from the event log. Event log records exist with a record ID other than the event ID, and the record ID is generated and given using the CPU Tick Count. If some event log records are deleted during the process of generating the event log, a gap will occur in the record ID flow. However, if you turn on/off the computer, you should be careful when making a decision regarding the deletion of the record because the event log record ID gap will occur.

  1. 운영체제가 발전되며 공격자들은 특별한 흔적 삭제 행위를 할 경우 공격도구를 제작해서 사용하기도 하고, 운영체제에서 제공하는 기본 기능을 사용해 파일을 삭제하기도 합니다. (Living off the land attack) 최근 몇 년 전부터 일부 공격자들은 별도의 삭제 도구가 아닌 윈도우 기본 dll 파일을 이용해 파일을 삭제하곤 했습니다.
    With the development of the operating system, attackers create and use attack tools to delete special traces, or delete files using the basic functions provided by the operating system. (Living off the land attack) In recent years, some attackers have used Windows-based dll files to delete files rather than separate deletion tools.