1. Why did the user fail to Windows backup? (15 points)

사용자가 Windows 백업에 실패한 이유를 찾는 문제입니다. 먼저 Backup 관련된 이벤트 로그 파일은 총 2개가 있습니다. Application.evtx 파일과 Microsoft-Windows-Backup.evtx 파일이 있습니다.

먼저 Microsoft-Windows-Backup.evtx 파일을 확인해 보면 이벤트로그가 총 3개가 있습니다.

위의 3개의 이벤트 로그에서는 Windows 백업에 실패한 이유를 찾아 볼 수는 없었습니다 또한 백업 실패 이벤트 ID 는 4014번 입니다.

Application.evtx 파일에서 이벤트 ID 값이 4014번인 이벤트 로그를 찾아 보겠습니다.

백업에 실패 했다고 하면서 사유는 위와 같이 "파일에 바이러스 또는 기타 사용자 동의 없이 설치된 소프트웨어가 있기 때문에 작업이 완료되지 않았습니다." 입니다.

답 : "파일에 바이러스 또는 기타 사용자 동의 없이 설치된 소프트웨어가 있기 때문에 작업이 완료되지 않았습니다."

2. Find all connected wireless AP SSIDs. (15 points)

연결되어있는 모든 무선 AP SSID값을 찾는 문제입니다. 여기서 AP는 Access Point 를 의미 합니다.

무선 연결 관련된 이벤트 ID 값은 8001번이며, 관련된 이벤트로그 파일명은 Microsoft-Windows-WLAN-AutoConfig%4Operational.evtx 입니다. Microsoft-Windows-WLAN-AutoConfig%4Operational.evtx 파일에는 총 13개의 8001번 이벤트 ID 로그가 존재 합니다.

총 13개의 데이터 중에서 중복되는 데이터도 존재 합니다. 중복 데이터를 제외하고 총 3개의 SSID 값이 존재 합니다.

| 네트워크 어댑터 : Intel(R) Dual Band Wireless-AC 8265 인터페이스 GUID : {5a2eac98-6f7e-487e-ae5f-df9d95b7f7f3} 연결 모드 : 프로필에 자동 연결 프로필 이름 : BBBB4444 SSID : BBBB4444 BSS 유형 : Infrastructure PHY 유형 : 802.11n 인증 : WPA2-Personal 암호화 : AES-CCMP 사용 : No

답 : BBBB4444, Alpinelab, KT_GiGA_2G_Wave2_1A36

3. Find the manufacturer, model and serial number of the external storage device(s) that the user connected.(20 point)

사용자가 연결한 외부저장장치의 제조업체, 모델 및 일련 번호를 찾는 문제입니다. 외부저장장치의 제조업체, 모델, 일련번호 데이터를 가지고 있는 이벤트 로그는 Microsoft-Windows-Partition%4Diagnostic.evtx 입니다.

해당 이벤트 로그는 USB Device Tracking 이벤트 로그를 다루는 파일입니다.

위의 이벤트 로그 파일에서는 2개의 행위가 기록이 됩니다.

1. 외부 저장 장치를 연결했을 때의 로그데이터
2. 외부 저장 장치를 연결 해제 했을 때의 로그데이터

위의 이벤트로그에 있는 디바이스의 정보를 한번 정리해 보겠습니다.

4. Write the list of ZIP files detected by AV on the user's PC. (20 points)

유저 PC에 있는 AV에의해서 탐지한 ZIP파일 리스트를 적는 것이 문제입니다.

AV란 AntiVirus로 악성코드(바이러스 등)를 탐지하고 치료하는 컴퓨터 프로그램입니다.