Analisa log pada windows, sebelumnya kita telah melakukan analisa auth.log pada os linux dan tibalah kali ini. Kita akan menyelesaikan CTF Event viewing By PicoCtf. Analisa kali ini kita akan berfokus pada Event ID unik yang disediakan oleh os windows.
Bisa dilihat pada gambar, kita mendapatkan kode yang sangat mencurigakan karena di encode yang tampak seperti base64. Kita akan melakukan decode script tersebut menggunakan Ai Chatgpt. 
Seperti biasa, di Sesion terakhir. kita mendapatkan Log yang aneh dan langsung saya decoding dengan Chatbot. dan langsung mendapatkan Potongan Flag kedua.
Dalam skenario CTF Event viewing, Salah satu karyawan mendapatkan komputernya terkena malware Dimana setiap kali pengguna menyalakan komputer, komputer langsung mati. Btw komputer yang digunakan menggunakan sistem operasi windows, Jadi sebelum melanjut ke tahap tutorialnya. Kita akan mencari beberapa Event id yang akan dibutuhkan. sesuai dari tugas 1 sampai 3.
Task 2 – Event ID 4657 (Registry Change)
Task 3 – Event ID 1074 (System Shutdown)
Berikut beberapa Event ID yang relevan untuk analisis pada challenge Event Viewing.
Task 1 – Event ID 1033 (MsiInstaller)
Event ID 1033 biasanya muncul pada log Application dan berkaitan dengan proses instalasi software menggunakan Windows Installer (MSI). Event ini penting karena dapat mengungkap aplikasi apa saja yang baru di-install oleh pengguna. Dalam skenario ini, kita mencurigai adanya software berbahaya yang diunduh dari sumber tidak resmi.
Event ID 1033 biasanya muncul pada log Application dan berkaitan dengan proses instalasi software menggunakan Windows Installer (MSI). Event ini penting karena dapat mengungkap aplikasi apa saja yang baru di-install oleh pengguna. Dalam skenario ini, kita mencurigai adanya software berbahaya yang diunduh dari sumber tidak resmi.
Task 2 – Event ID 4657 (Registry Change)
Event ID 4657 tercatat pada log Security dan menunjukkan adanya perubahan pada registry Windows. Event ini sering digunakan untuk mendeteksi aktivitas program yang memodifikasi konfigurasi sistem, termasuk malware yang mencoba persistence. Karena program dijalankan namun terlihat tidak melakukan apa-apa, kita perlu memeriksa kemungkinan perubahan registry tersembunyi.
Task 3 – Event ID 1074 (System Shutdown)
Event ID 1074 muncul pada log System dan menandakan adanya proses shutdown atau restart yang dipicu oleh user atau aplikasi. Keluhan pengguna bahwa komputer langsung mati setelah login mengindikasikan kemungkinan adanya script atau malware yang memaksa shutdown otomatis. Oleh karena itu, event ini menjadi kunci untuk investigasi.
Langkah pertama, Download file Windows_Logs yang disediakan oleh PicoCtf setalah anda mendownload buka Event log tersebut, dan kita akan menggunakan Fitur Filter Curent Log pada menu Actions.
Bisa dilihat pada fitur filter tersebut, kita dapat menyaring mulai dari Logged, Event level, Category, Keyword, User, Computer Dan Includes/Event Id kita akan gunakan filter ini.
Task 1
They installed software using an installer they downloaded online, Task pertama kita mendapatkan pengakuan oleh karyawan bahwa karyawan tersebut mengunduh dan meng-install perangkat lunak yang didapatkan melalui situs internet yang tidak resmi. Kita akan menggunakan Event ID 1033.
Dan boom kita mendapatkan potongan flag pertama.
Task 2
They ran the installed software but it seemed to do nothing, Kita juga mendapat pengakuan bahwa karyawan tersebut sudah menjalankan program yang telah diinstall namun tidak terjadi apa-apa. dalam task kedua ini kita akan menggunakan Event ID 4657 dimana Id ini adalah Registry Change os windows.
Kita masih menggunakan Fitur yang sama, yaitu fitur Filter Curent log.
Task 3
Now every time they bootup and login to their computer, a black command prompt screen quickly opens and closes and their computer shuts down instantly. Yap seperti pada paragraf pertama diatas, dampak dari menginstall program dari sumber yang tidak jelas mempunyai resiko yang nyata.
Dalam task terakhir karyawan bilang, bahwa setiap komputer dinyalakan, Layar cmd terbuka sebentar dan tiba-tiba komputer pun mati sendiri. kita akan menyelesaikan task ini untuk mencari bukti dan menyelesaikan CTF Event Viewing.
Dengan Event ID ShutDown (1074) yang telah kita bahas sebelumnya, kita langsung saja menggunakan fitur dan mengdecodekan dengan AI chatbot.
Setelah kita menyelesaikan Beberapa task 1 sampai 3, tibalah saatnya kita untuk menggabungkan beberapa potongan flag yang telah kita dapatkan dan submit ke PicoCtf untuk menyelesaikannya.
Penutup
Dengan artikel Ctf Event Viewing dari PicoCtf ini, semoga menjadi pelajaran bahwa kita tidak boleh mendownload dan menginstall program dari Source atau sumber yang tidak resmi dan semuga artikel ini bermanfaat bagi kamu yang sedang mengerjakan CTF event viewing.