Windows 부트로깅

1. 부트로깅이란?

 

시스템이 부팅 중 발생하는 이벤트를 모니터링하고 로그에 남기는 것!

 

2. 분석방법

 

Injection, Launcher의 기능을 하는 프로세스 식별

 

자동실행 된 프로세스 식별

 

특정 프로세스를 실행 중 접근된 자원 실별

 

프로세스 상관관계 분석(Parent-Child Relationship)

 

TCP/UDP Traffic을 발생시킨 프로세스 식별

 

 

 

 

 

이후 재부팅 !!

 

두구두구두구

 

 

 

 

 

로그를 이용해서 라이프타임이 짧은 걸 확인하고 

 

프로세스트리를 확인하여 상관관계를 분석한다.

[ex)부모프로세스와 자식프로세스 등 다른프로세스에 의해 생성된 것]