ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • Symantec Endpoint Protection 로그 Raw 분석
    tip 2011. 12. 1. 23:45
    Symantec Endpoint Protection 를 사용하는 사용자 PC 의 이미지를 분석할 경우 별도의 뷰어가 제공되지 않기 때문에 분석하기 쉽지 않다. 다행이도 진단로그에는 진단명과 진단파일 경로를 텍스트로 저장하고 있어 눈으로 식별할 수 있기 때문에 분석하는데 도움을 많이 받을 수 있다.

    여기서 한걸음 더 나아가 (1) 진단된 파일을 복원하여 원본 파일을 분석하고자 하는 경우나 (2) 진단로그에서 시간을 확인하고 싶을 경우에 대해 경한것을 기록하고자 합니다.

    1. 검역소 복원

    우선 별도의 프로그램이 존재하지 않기 때문에 동일한 프로그램을 설치해야 한다. 설치후 분석 PC 에서 검역속(Quarantine) 위치를 확인 후 추출하여 로컬 시스템의 검역소 위치에 복사 하여야 한다.

    검역소 경로는 레지스트리에서 확인이 가능하다.
    HKLM SOFTWARE\Symantec\Symantec Endpoint Protection\AV\Quarantine
    "QuarantineDir" REG_SZ "C:\Quarantine"

    복사 완료 후 Symantec 프로그램을 실행 시킬 경우 새로 저장한 파일의 내용이 검역소 확인 화면에서 정상적으로 보여지는 것을 확인할 수 있다. 해당 화면에서 제공하는 기능인 "복원"을 이용하여 원본 파일을 추출할 수 있다.



    2. Symantec Endpoint Protection 로그의 시간 포맷 

    로그 파일을 텍스트 뷰어로 확인해 보면, 왼쪽 그림과 같이 줄 가장 앞쪽에 시간정보가 기록되어 있다. 가장 첫 줄에 있는 290A04023504 값 을 예로 들어보면 아래와 같다.

    1970 + 0x29 년 / 0xA + 1 월 / 0x4 일
    0x02 시 : 0x35 분 : 0x04 초

    즉, 2011년 11월 4일 02시 53분 04초 입니다.

    'tip' 카테고리의 다른 글

    VMware 디스크 이미지 마운트  (0) 2012.01.05
    Bitstream Vera sans Mono  (0) 2011.12.06
    Shift+Space Bar 로 한영전환 하기  (0) 2011.11.24
    Microsoft Network Monitor  (0) 2011.04.03
    Microsoft Mathmatics Add-in  (0) 2011.03.24
Designed by Tistory.