SecureLink

신입교육

Working Diary

TrubleShootingandTips

Explore

01002024

01152024

김준성

Last edited 230 days ago by 김준성

로그수집(심화)

로그수집방법

간략하게 설명하면 로그의 정보가 필요한 특정 파일을 인증받은 로그파일로 대체해서 파일마다 다른곳에서 생겨나는 폴더에서 로그(일반적으로 .txt)를 수집하는 일이다. 일반적으로 기능에 문제가 생겼을때 그 상황에 일어난 일에 대해서 증거를 수집하는 일정도로 생각하면 쉬울 듯 하다.

1. 로그파일선정

Everything프로그램을 돌리고 검색창에 다음과 같은 방법으로 특정 파일의 인증된 로그 파일을 검색

⁠

목록에서 ‘인증완료’폴더에 있으면서 일자가 가장 가까운 파일을 검색

⁠

STD: Standard의 약어

EXT:

해당 파일을 클릭하고 복사(Ctrl + C)또는 ‘경로 열기’를 통해 폴더를 열고 복사.

⁠

Local의 임시폴더에 해당 파일을 저장.

2. 서비스에서 로그 파일 변경

클라이언트가 있는 PC의 LOCAL환경에서 SPK폴더(C:\Program Files (x86)\Safe.PrivacyKeeper)에 진입 후. SpkTurtleship.dll파일을 검색.

⁠

이곳에 먼저 찾은 log파일을 이동(복사)

⁠

기존에 있던 SpkTurtleship.dll파일은 실행되지 못하게 이름을 변형(e.g. SpkTurtleship__.dll)하고 SpkTurtleship_log__.dll을 원래 파일 이름인 ‘SpkTurtleship.dll’파일로 이름을 변경합니다.

⁠

SpkStarter.exe파일의 이름을 SpkStarter_.exe로 변경하고 zwFedex.exe의 사본 파일을 만들어 SpkStarter.exe파일로 이름변경. 이는 SPK가 자동실행시 업데이트 체크 기능을 가진 SpkStarter.exe를 Skip하고 바로 업데이트를 분배하는 zwFedex.exe를 실행시키기 위함.

작업표시줄 하단에서 SPK 이아콘을 우클릭 하고 ‘SPK > 다시시작하기’를 눌러 실행.

⁠

3. 로그파일확인

Turtleship관련 Log파일들은 SPK폴더 안에 있는 Log폴더(C:\Program Files (x86)\Safe.PrivacyKeeper\Log)에 있다.

⁠

위는 SpkTurtleship.dll를 Log 파일로 교체하고 Spk만 실행했을 때 발생되는 로그 파일이다.

개인정보가 담긴 무작위 파일들을 위치를 지정해서 검사를 실시

⁠

검사를 마치고 다시 로그 폴더로 돌아오면 새로운 로그들이 생성 된 것을 확인 가능

⁠

4. 그 밖의 트러블슈팅

가끔 로그 파일이 작동하지 않는 경우가 있는데 그건 운용되는 서비스와 업데이트 되는 버젼이 너무 다를 때 종종 일어난다. 그래서 최신 로그 파일이 작동 되지 않는다면 로그 파일중에서도 STD파일이 있는 버젼에서 아무 태그가 없는 로그 파일(?)을 선택하자.

⁠

리스트에서 보면 STD버젼의 가장 최근 날짜가 ‘0918(9월18일)이다. 그렇다면, 9월 18일 ‘인증완료’ 폴더에서 태그가 없는 log파일을 선택

1. zwSafedotKeepon.exe

C:\Users\alpha\AppData\Roaming\AlphaX\INSTALLTEMP\ASSPK_SPK\zwSafedotKeepon.exe

C:\Program Files (x86)\Safe.PrivacyKeeper\zwSafedotKeepon.exe

"C:\ProgramData\SafedotX\RanLog_Alpha\Safe.Log_YYYYMMDD.txt"

[100946]OpenFile - PROTECT : SecureFolder - 00000c04 (C:\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.23110.3-0\MSMPENG.EXE) C:\Program Files (x86)\AlphaSecure\ZeroKeeperR\zwSafedotKeeponX.exe

[100946]OpenFile - PROTECT : SecureFolder - 00000c04 (C:\PROGRAMDATA\MICROSOFT\WINDOWS

2. spk.exe

C:\temp\EurekaLog\log

spklog.exe

C:\Program Files (x86)\Safe.PrivacyKeeper\spklog.exe

C:\Users\alpha\AppData\Roaming\AlphaX\INSTALLTEMP\ASSPK_SPK\spklog.exe

3. spkTurtleship.dll

C:\Program Files (x86)\Safe.PrivacyKeeper\SpkTurtleship.dll

C:\Users\alpha\AppData\Roaming\AlphaX\INSTALLTEMP\ASSPK_SPK\SpkTurtleship.dll

4. zwsafedotShip.dll

C:\Windows\SysWOW64\zwSafedotShip.dll

5. zwSafedotSpace(X).exe

\\192.168.0.42 space log

⁠

사용할 로그 파일을 Local의 어딘가의 임시폴더에 저장.

교체할 zwSafedotSpaceX.exe파일은(C:\Windows\System32)에 zwSafedotSpace(X).exe파일들은 (C:\Windows\SysWOW64)에 있다.

⁠

‘Windows\System32’의 폴더는 권한 이슈 때문에 Local에서 바로 VM의 ‘Windows\System32’로 복사 되어 질 수 없다. 따라서 VM의 Local 어딘가로 먼저 복사.

SPK를 종료

zwSafedotSpaceX_log__1096.exe파일을 C:\Windows\System32에 zwSafedotSapace(X)_log_1096.exe파일들을 C:\Windows\SysWOW64에 복사

⁠

Space(X) Log 파일들이 생성되는 곳은 ‘C:\Users\alpha\AppData\Roaming\SafedotX’이다.

⁠

C:\Windows\SysWOW64\zwSafedotSpace.exe

C:\Windows\SysWOW64\zwSafedotSpaceX.exe

C:\Windows\System32\zwSafedotSpaceX.exe

"C:\ProgramData\SafedotX\RanLog_Alpha\Safe.Log_YYYYMMDD.txt"

[111302]CloseFile - call - C:\Users\alpha\Documents\ADTest\Word Process\HWP_한글문서_(97~3.0).hwp (C:\WINDOWS\SYSWOW64\ZWSAFEDOTSPACE.EXE)

[111302]CloseHandle: [00000000] exit flag = -1

[111302]CloseHandle: Close: [00000000] - (Skip)delete FileContext 042ba890

[111302]CloseHandle [h=00000000, c=042ba890]: mRef=-1 but, it called delete event

[111302]CloseFile - call - C:\Users\alpha\Documents\ADTest\Word Process\HWP_한글문서_(97~3.0).hwp (C:\WINDOWS\SYSWOW64\ZWSAFEDOTSPACE.EXE)

[111302]CloseHandle: [00000000] exit flag = -2

[111302]CloseHandle: Close: [00000000] - (Skip)delete FileContext 042ba890

[111302]CloseHandle [h=00000000, c=042ba890]: mRef=-2 but, it called delete event

[111302]CloseFile - call - C:\Users\alpha\Documents\ADTest\Word Process\HWP_한글문서_(97~3.0).hwp (C:\WINDOWS\SYSWOW64\ZWSAFEDOTSPACE.EXE)

[111302]CloseHandle: [00000000] exit flag = -3

5.1 zwSafedotSpaceX_tmp.exe

C:\Program Files (x86)\Safe.PrivacyKeeper\zwSafedotSpaceX_tmp.exe

C:\Users\alpha\AppData\Roaming\AlphaX\INSTALLTEMP\ASSPK_SPK\zwSafedotSpaceX_tmp.exe

6. zwSafedotHDinfo.dll

C:\Windows\SysWOW64\zwSafedotHDInfo.dll

6.1 zwSafedotHDinfo_tmp.dll

C:\Program Files (x86)\Safe.PrivacyKeeper\zwSafedotHDInfo_tmp.dll

C:\Users\alpha\AppData\Roaming\AlphaX\INSTALLTEMP\ASSPK_SPK\zwSafedotHDInfo_tmp.dll

7. zwSafedotXwingDrv(X).dll

C:\Windows\SysWOW64\zwSafedotXwingDrv.dll

C:\Windows\System32\zwSafedotXwingDrvX.dll

7.1 zwSafedotXwingDrv_tmp.dll

C:\Program Files (x86)\Safe.PrivacyKeeper\zwSafedotXwingDrv_tmp.dll

C:\Users\alpha\AppData\Roaming\AlphaX\INSTALLTEMP\ASSPK_SPK\zwSafedotXwingDrv_tmp.dll

8. zwSafedotXwingOut(X).dll

C:\Windows\SysWOW64\zwSafedotXwingOut.dll

C:\Windows\System32\zwSafedotXwingOutX.dll

8.1 zwSafedotXwingOut(X)_tmp.dll

C:\Users\alpha\AppData\Roaming\AlphaX\INSTALLTEMP\ASSPK_SPK\zwSafedotXwingOut_tmp.dll

C:\Program Files (x86)\Safe.PrivacyKeeper\zwSafedotXwingOut_tmp.dll

C:\Program Files (x86)\Safe.PrivacyKeeper\zwSafedotXwingOutX_tmp.dll

C:\Users\alpha\AppData\Roaming\AlphaX\INSTALLTEMP\ASSPK_SPK\zwSafedotXwingOutX_tmp.dll

1. zwSafedotKeepon.exe

5. zwSafedotSpace(X).exe

5.1 zwSafedotSpaceX_tmp.exe

6. zwSafedotHDinfo.dll

6.1 zwSafedotHDinfo_tmp.dll

7. zwSafedotXwingDrv(X).dll

7.1 zwSafedotXwingDrv_tmp.dll

8. zwSafedotXwingOut(X).dll

8.1 zwSafedotXwingOut(X)_tmp.dll

Want to print your doc?
This is not the way.

Try clicking the ⋯ next to your doc name or using a keyboard shortcut (

CtrlP

) instead.