윈도우의 바이너리 기반 부트관련 로그 및 분석 도구

테크넷 김재벌 입니다.

 

윈도우에서 부트 관련 로그가 bootstat.dat 파일에 저장되고 있는데,  이는 DFIR 관점에서 중요한 정보를 내포할 수 있습니다.

 

이 파일의 이름과 경로는 아래와 같습니다.

$bootstatFilename = "C:\Windows\bootstat.dat"

하지만, 이 파일은 바이너리 파일로 이 파일을 분석하려면 문자열을 파싱해서 추출하는 방법을 사용해야 합니다.

 

트위터를 통해 해당 정보를 확인했고 , 이 문제를 인식한 분이 직접 파워쉘로 이를 분석하는 스크립트를 작성하여 공개 했습니다.

 

 

추후 활용, 응용하면 꽤나 의미 있는 분석을 할 수 있을 것 같네요.

 

https://github.com/gtworek/PSBits/blob/master/DFIR/Extract-BootTimes.ps1

GitHub - gtworek/PSBits: Simple (relatively) things allowing you to dig a bit deeper than usual.