[Windows Artifacts] WER

 

 

윈도우 아티팩트

(1) WER이란?

  • 윈도우 문제 보고 (Windows Error Reporting)

  • 하드웨어 / 소프트웨어 오류 발생 시 관련된 디버깅 정보 수집 및 보고용

  • Microsoft 서버로 수집된 덤프 발송 (OS Dependency)

  • 레지스트리에서 WER 관련된 기능 설정 가능

  • 로컬 WER 크래시 덤프 생성 가능

(2) WER 상세 내용

2-1. Kind of

  • Windows OS Function

2-2. Information

  • File Name, Event Time, App Path, Etc.

2-3. Path

  • Microsoft-Windows-WER-Diag%4Operational.evtx - Event Log

  • %SystemDrive%ProgramData\Microsoft\Windows\WER\ReportArchive

  • %UserProfile%AppData\Local\Microsoft\Windows\WER

2-4. Characteristic

  • If malware craches, detection is possible

[그림 1] WER 분석 예시 

(3) 아티팩트 수집 및 분석 실습

3-1. FTK Imager > ProgramData > Microsoft > Windows > WER > ReportArchive 폴더 아티팩트 확인

  • 마우스 우클릭 - Export Files

[그림 2] FTK Imager - WER 수집

 

해당 경로로 이동하게 되면, ReportArchive 폴더 안에 WER 아티팩트들이 존재한다.

 

마우스 우클릭을 한 다음, Export Files 기능을 통해 WER 아티팩트를 수집한다.

 

여기서 중요한 것은, 아티팩트 수집(추출)이나 출력 결과물 저장은 수집 대상물의 데이터 무결성을 위해 분석 환경에서 진행해야 하며, 가상 환경 공유 폴더나 이동식 매체로 지정해야 한다.

 

즉, 수집 도구에 의한 수집물은 '이동식 매체'로 저장하고 분석 결과도 수집 대상물에 저장되지 않도록 분석은 수집 대상물 PC가 아닌 분석용 로컬 PC(호스트)에서 진행해야 한다.

 

수집된 파일이나, 디렉토리는 수집 대상물의 디스크에 바로 저장되어서는 안 되며, 바로 공유 폴더  등의 이동식 매체에 저장되어야 데이터 무결성이 깨지지 않는다.

 

또한, 아티팩트를 수집할 시에 MAC 타임 보존은 필수적으로 숙지하고 진행한다.

 

[그림 3] 해당 아티팩트 공유 폴더 지정 예시

 

위 [그림 3]은 해당 아티팩트 분석을 위해 분석 환경 공유 폴더로 해당 아티팩트를 지정해 준 화면이다.

 

 

3-2. Sublime Text3 활용, WER 분석

 

[그림 4] WER 분석

 

Sublime Text3 프로그램을 이용하여 Report.WER 파일을 오픈한 화면이다.

 

ColorEngine 프로그램에 대한 WER 파일이다.

 

 

[그림 5] Report.WER 파일 분석 (1)

 

[그림 6] Report.WER 파일 분석 (2)

 

[그림 7] Report.WER 파일 분석 (3)

 

WER 아티팩트를 통해 얻을 수 있는 정보로는 다음과 같다.

  • 프로그램에 대한 오류 정보

  • 프로그램 버전

  • 타임스탬프

  • 오류 모듈 DLL

  • 프로그램에 대한 정확한 오류 정보

  • Loaded Module에 대한 정보와 경로

  • OsInfo

  • FriendlyEventName

  • 프로그램 이름 & 경로 

이외에도 여러 추가적인 정보 확인이 가능하다.

(4) 추가 내용 정리

  • 윈도우 문제 보고 (Windows Error Reporting)는 윈도우 XP부터 추가된 기능

  • 운영체제에 H/W나 S/W 오류가 발생하면 오류와 관련한 디버깅 정보를 수집하여 보고하는 기능

  • WER은 H/W나 S/W 오류를 탐지하여 개선하고자 하는 기능이지만, 악성코드도 S/W이기 때문에 악성코드 탐지에도 사용 가능

  • 악성코드는 보통 제작될 때, 모든 환경을 고려하지 못해 자주 시스템 관련 오류를 발생시키는데 주로 운영체제 버전이 맞지 않거나 플랫폼이 맞지 않아 발생하므로, 오류 발생 시 생성한 로그를 통해 악성코드인지 여부 판단 가능

  • WER 크래시 덤프를 남기도록 설정해두면, 사고 조사 시에 악성코드의 정확한 흔적이 남을 수 있음

# Reference

 

https://docs.microsoft.com/ko-kr/windows/win32/wer/wer-settings?redirectedfrom=MSDN

 

https://docs.microsoft.com/ko-kr/windows/win32/wer/collecting-user-mode-dumps?redirectedfrom=MSDN

저작자표시

'Digital Forensics > Artifacts' 카테고리의 다른 글

[Windows Artifacts] Task Scheduler  (0) 2020.05.25
[Windows Artifacts] Amcache  (0) 2020.05.25
[Windows Artifacts] Recycle Bin  (0) 2020.05.25
[Windows Artifacts] Jump Lists  (0) 2020.05.25
[Windows Artifacts] Shortcut (LNK)  (0) 2020.05.25

+ Recent posts

티스토리툴바