[SCP PROJECT] Windows Event Loger Develop 02

 

프로그램 개발

 

프로그램 개발 정말 필자가 어려워하고 힘들어 하는 부분이다.

 

정말 정말 머리를 깊게 써야 하고 모든 집중력을 쏟아내야 하기 때문이다.

 

처음에는 "파일이 수정 삭제 변조 되면 어떻게 찍어낼까?"  고민 했다.

 

이 고민을 너무 오래 하다보니

 

파일 삭제, 수정 등등 윈도우 이벤트 로거에 남는다고 힌트를 주셨다.

 

그래서 이 정보를 파싱하면 어떠냐고 힌트를 주셨고, 

 

"이벤트 로거는 어디서 다른 파일을 읽어 오는거야? 아니면 로거 자체에서 밖에 못 봐?"

나는 잘 모르겠어서.."

 

이런 식으로 힌트 주셨다. 정말 정말 감사했다.

 

필자는 윈도우 이벤트 ID의 대하여 공부하고 이벤트 로거가

 

어느 위치에 있는 파일을 보여주는지 계속 찾아봤다.

 

윈도우 이벤트 뷰어가 어느 경로에 있는 파일을 띄워주는지 찾아냈고,

 

파일이 생성, 수정, 삭제 되었을 때 로그를 비교했다. 

 

로그 분석

 

위 사진은 로그 분석 한 사진이다.

 

파일을 만들고 생성, 수정, 삭제 하며 어떤 식으로 로그가 기록되는지 확인하는 작업이다.

 

감사정책을 권한을 이것 저것 체크해가며 분석했다.

 

파싱 파일

 

실제로 이벤트 뷰어가 어떤 파일을 파싱하는지 찾았다.

 

하지만, 이벤트 로그가 발생될 때 상황을 코드로 띄워주는 python 모듈을 찾았고,

 

우리팀은 좀 더 쉽게 프로그램을 개발 할 수 있었다.

 

server = 'localhost'
    logtype = 'Security'

    hand = wevt.OpenEventLog(server,logtype)
    flags = wevt.EVENTLOG_FORWARDS_READ|wevt.EVENTLOG_SEQUENTIAL_READ
    total = wevt.GetNumberOfEventLogRecords(hand)

    i = 0
    j = 0
    k = 0

    while True:
        events = wevt.ReadEventLog(hand, flags,0)
        
        if events:
            for evt in events:
                today = datetime.datetime.now().date()
                day_ago = today - datetime.timedelta(days=1)
                if evt.EventID == 4660:
                    i = i + 1  
                    DeleteLog_Notepad()
                    DetailLog_Notepad()
                if evt.EventID == 4663:
                    j = j + 1
                    k = k + 1
                    ReadChangeLog_Notepad()
                    DetailLog_Notepad()

 

위 코드는 이벤트 ID가 4660 / 4663일때 로그를 기록하게 하는 메인 함수이다.

 

import winsound
import win32evtlog as wevt
import datetime
import Evtx.Evtx as evtx
import time
import os
import win32gui
import win32console

def Forder_Check():
    Forder_Check = os.path.exists("SCB_Log")
    if Forder_Check == False:
        dir_path = "./"
        dir_name = "SCB_Log"
        os.mkdir(dir_path + "/" + dir_name + "/")
        DeleteLog_txt()
        ReadChangeLog_txt()
        DetailLog_txt()

def DeleteLog_txt():
    f = open("./SCB_Log\\DeleteLog(4660).txt", "w")
    f.write("\t\t<< Delete Log >>\n\n")
    f.write("*" * 50)
    f.close()

def ReadChangeLog_txt():
    f = open("./SCB_Log\\ReadChangeLog(4663).txt", "w")
    f.write("\t\t<< Read, Change Log >>\n\n")
    f.write("*" * 50)
    f.close()

def DetailLog_txt():
    f = open("./SCB_Log\\DetailLog.txt", "w")
    f.write("\t\t<< Detail Log >>\n\n")
    f.write("*" * 50)
    f.close()

def DeleteLog_Notepad():
    destFile = r"./SCB_Log\\DeleteLog(4660).txt"
    with open(destFile, 'a') as f:
        winsound.PlaySound('sound.wav', winsound.SND_FILENAME)
        print("\nLog Number     : {}".format(i), file=f)
        print("\nEvent ID       : {}".format(evt.EventID), file=f)
        print("\nTime Generated : {}".format(evt.TimeGenerated), file=f)
        f.write('\n파일 또는 폴더가 삭제되었습니다.\n')
        f.write('\nThe file or folder has been deleted.\n')
        f.write('*' * 50)

def ReadChangeLog_Notepad():
    destFile = r"./SCB_Log\\ReadChangeLog(4663).txt"
    with open(destFile, 'a') as f:
        print("\nLog Number     : {}".format(j), file=f)
        print("\nEvent ID       : {}".format(evt.EventID), file=f)
        print("\nTime Generated : {}".format(evt.TimeGenerated), file=f)
        f.write("\n파일 및 폴더가 열렸거나 수정되었을 수 있습니다.\n")
        f.write("\nThe files and folders may have been opened or modified.\n")
        f.write('*' * 50)

def DetailLog_Notepad():
    destFile = r"./SCB_Log\\DetailLog.txt"
    with open(destFile, 'a') as f:
        print("\nLog Number     : {}".format(k), file=f)
        print("\nEvent Category : {}".format(evt.EventCategory), file = f)
        print("\nEvent Type     : {}".format(evt.EventType), file = f)
        print("\nEvent ID       : {}".format(evt.EventID), file = f)
        print("\nTime Generated : {}".format(evt.TimeGenerated), file = f)
        print("\nSource Name    : {}".format(evt.SourceName), file = f)
        data = evt.StringInserts
        
        if data:
            f.write("\nEvent Data :")
            for msg in data:
                f.write("\n")
                f.write(msg)
                            
        
        f.write('*' * 50)

if __name__ == "__main__":
    Forder_Check()
    win32gui.ShowWindow(win32console.GetConsoleWindow(), 0)
    
    server = 'localhost'
    logtype = 'Security'

    hand = wevt.OpenEventLog(server,logtype)
    flags = wevt.EVENTLOG_FORWARDS_READ|wevt.EVENTLOG_SEQUENTIAL_READ
    total = wevt.GetNumberOfEventLogRecords(hand)

    i = 0
    j = 0
    k = 0

    while True:
        events = wevt.ReadEventLog(hand, flags,0)
        
        if events:
            for evt in events:
                today = datetime.datetime.now().date()
                day_ago = today - datetime.timedelta(days=1)
                if evt.EventID == 4660:
                    i = i + 1  
                    DeleteLog_Notepad()
                    DetailLog_Notepad()
                if evt.EventID == 4663:
                    j = j + 1
                    k = k + 1
                    ReadChangeLog_Notepad()
                    DetailLog_Notepad()

위 코드는 전체 개발 소스코드이다.