[이제 시작이야! 디지털 포렌식] Chapter 5 윈도우 시스템에서의 증거 수집

 

 

 

데스크톱 시장의 90%(Brodkin, 2011)는 윈도우를 사용하고 있으며

포렌식 조사관은 대부분 윈도우 컴퓨터를 상대해야 한다.

 

 

 

---

1. 삭제된 데이터

• 삭제된 데이터는 다른 파일로 덮어써지기 전까지 그대로 남아있게 된다.

파일 카빙 : 할당되지 않은 공간에 있는 데이터를 수집하는 작업

 

• 할당된 공간 : 컴퓨터가 사용 중에 있고 기록 및 유지하고 있는 데이터
• 즉, 윈도우에서 볼 수 있고 열 수 있는 모든 파일
• 파일 시스템은 이러한 파일을 관리하고 기록함

---

2. 최대 절전모드 파일(HIBERFILE.SYS)

• 최대 절전모드와 하이브리드 절전모드는 데이터를 RAM에 저장하지 않고 하드 드라이브에 저장
• 컴퓨터는 "잠"을 세 가지 모드 1. 대기모드 2. 최대 절전모드 3. 하이브리드 절전모드 등
• 각 모드는 전력을 전력할 목적으로 사용됨

- 대기모드

• 전력 절약의 목적도 있지만 컴퓨터를 최대한 신속하게 작동시키기 위함의 목적
• 대기모드에서는 소량의 전력을 RAM에 지속적으로 공급하여 데이터 유지
• 대기모드는 RAM에 모든 데이터가 존재하므로 포렌식적으로 아무 도움 X

- 최대 절전모드

• RAM에 있는 모든 데이터가 하드 드라이브로 옮겨지며 데이터 제거에 더 hard

- 하이브리드 절전모드

• 앞의 설명한 두 가지 모드 혼합
• 즉, RAM에 최소한의 전력을 공급하여 데이터를 디스크에 기록

---

3. 레지스트리

• 윈도우 레지스트리(Windows Registry) : 설정파일을 위한 데이터베이스
• 레지스트리는 사용자와 시스템 구성의 설정을 관리
• 포렌식 관점에서 레지스트리에 수많은 증거 및 흔적 존재(검색어, 실행된 프로그램, 설치된 프로그램, 웹 주소 등)

- 레지스트리 구조

• 디렉터리, 폴더 그리고 파일과 같은 트리 구조
• 거의 모든 포렌식 검사에서 레지스트리 검사
• 암호화된 파일 해독 시 필요한 정보 저장되어 있을 수 있음

- 사건 파일: 윈도우 레지스트리

• 텍사스주의 휴스턴, 신용카드 범죄사건
• 컴퓨터의 NTUSER.DAT, 레지스트리 그리고 "Protected Storage System Provider" 조사

- 사건 파일: 윈도우 레지스트리와 USBStor

• 텍사스 오스틴의 조그만한 도시, 아동 포르노 사건
• 외장하드에 아동 포르노 발견 -> 노트북 시스템의 레지스트리 USBStor 키 항목 발견

- 속성

• 누가 흔적을 생성되게 했는지 알아야 함
• 하나의 PC에 여러 개의 사용자 계정 등록 가능
• 기본적으로 관리자, 게스트 계정 생성
• 관리자 계정은 해당 컴퓨터의 모든 권한 지님 BUT 게스트는 적은 권한
• 컴퓨터의 각 계정에는 보안 식별번호 또는 SID라는 고유 번호 지정, 이를 통해 특정 계정 추적

- 외장 드라이브

• 외장기기가 연결되어 있었는지의 유무는 레지스트리로 판단 가능
• 레지스트리에는 기기의 제조사와 시리얼 번호도 저장

---

4. 프린트 스풀링

• 스플링은 프린터가 편리한 시간에 프린트를 할 수 있도록 임시로 프린트 작업 저장(Tech Target)
• 스풀링 시 윈도우는 두 개의 보조 파일 생성 
• 1. Enhanced Meta File(EMF) - 프린트 문서 이미지 2. 스풀 파일 - 프린트 작업 자체에 대한 정보
• 스풀 파일(.spl)은 프린터 이름, 컴퓨터 이름 그리고 프린터에게 프린트 작업을 전송한 사용자 계정 등
• 그러나 스풀 파일은 금방 삭제되는데, 예외의 두 가지 경우 존재
• 1. 문제 발생하여 프린트되지 않았을 경우 2. 프린트 작업 시 컴퓨터에 복사본 저장하게 설정해 놓은 경우
• 협박 편지, 위조된 계약서, 탈취한 고객 목록 등

---

5. 휴지통

• 포렌식 툴을 이용해 휴지통 파일 쉽게 원상 복원 가능

휴지통 기능 -> 일반적으로 파일을 삭제하면 휴지통으로 옮겨진다고 생각한다.     실제로는 아니다. 파일 그 자체는 원래 있던 자리에 그대로 남아있게 된다.

 

• Shift+Delete 혹은 휴지통 사용하지 않도록 설정한다면 휴지통 자체를 거치지 않는다.
• 일반인들은 휴지통을 맹신하기에 잠재적 증거 파일을 찾기에 좋은 곳

휴지통 비활성화 -> 레지스트리의 "NukeOnDelete" 값이 "1"로 설정되어 있다면     휴지통을 사용하지 않도록 설정되어 있다는 것

 

---

6. 메타데이터

• 데이터에 대한 데이터
• 메타데이터는 프로그램 파일과 파일 시스템 두 가지 종류
• 파일 시스템 메타데이터는 "속성"을 선택하면 볼 수 있다.
• 1. 만든 날짜 : 특정 매체에 언제 파일 및 폴더가 생성되었는지 표시
• 2. 수정한 날짜 : 파일이 수정되어 저장되면 수정한 날짜와 시간이 설정됨
• 3. 엑세스한 날짜 : 파일시스템은 파일에 접근할 때마다 엑세스한 날짜 업데이트(백신 스캔 및 자동 접근 등)

시간과 날짜 -> 파일의 시간과 날짜를 그대로 믿으면 안된다 !!     손쉽게 접근 및 수정 가능하며, 하나 이상의 표준시간대 사용시 더 복잡해짐

 

• 프로그램 메타데이터 또한 시간과 날짜 저장되며 다양한 속성 추적 가능(작성자, 기관이름, 컴퓨터 이름 등)

- 메타데이터 제거

• 정보 염려되어 파일 공유 전에 메타데이터 제거
• 메타데이터를 제거하는 툴들이 여러 개 존재(마이크로소프트의 기능)
• 복원된 메타데이터는 용의자의 파일의 존재 몰랐음에 대한 반박으로 사용

- 사건파일: 메타데이터

• 텍사스의 휴스턴, 신용카드 복제 사건
• "복제" 정보를 저장하고 있는 마이크로소프트 워드 문서 발견
• 문서의 작성자 찾아서 두 번째 수색 시 카드 데이터 축출 하드웨어 발견

---

7. 썸네일 캐시

• 썸네일(thumbnail) 파일은 사용자가 "미리 보기"를 선택하면 윈도우가 자동으로 생성함
• 윈도우 버전에 따라 두 가지 종류의 썸네일 파일
• 1. 윈도우 XP -> thumbds.db 2. 윈도우 비스타와 7 -> thumbcache.db
• 흥미로운 점은 원본 사진이 삭제된 이후에도 이러한 파일 그대로 남아있다는 것
• 원본 사진 복원 못했더라도 차선책 가능

---

8. 최근 실행 목록

• 최근 실행 목록은 최근 사용한 프로그램이나 파일의 바로 가기 역할을 하는 링크
• 마이크로소프트의 노력의 한 예

---

9. 복원 지점과 쉐도우 복사

• 윈도우는 컴퓨터에 문제가 생기면 잘 작동되던 시점인 복원 지점으로 돌아갈 수 있다.

- 복원 지점

• 핵심 시스템 구성과 설정을 특정 시점에 스냅샷을 한 것(Microsoft Corporation)
• 복원 지점은 여러 가지 방법으로 만들어짐
• 1. 소프트웨어 설치 같이 주요 시스템 이벤트 전에 자동으로 시스템에 의해 생성
• 2. "주 1회"같이 정기적으로 생성
• 3. 사용자가 직접 생성
• 복원 지점 기능은 디폴트로 활성화되어 있어 매일 자동으로 하나의 스냅샷 생성됨
• 마이크로소프트는 이 정보를 보호하기 위해 일반 사용자들이 볼 수 없도록 함
• 복원 지점에는 메타데이터 존재 -> 그 어떤 곳에도 존재하지 않은 증거 포착 대박 !

- 사건 파일: 인터넷 사용 기록과 복원 지점

• 아동 포르노 소장, 해당 사이트 실수로 방문 사건
• 지난 2개월간의 복원 지점 확인 -> 사이트 여러 번 방문 + 직접 URL 입력 발견

- 쉐도우 복사

• 쉐도우 복사는 복원 지점의 소스 데이터
• 특정 파일이 시간 경과에 따른 변화 증명 가능
• 또한 이미 삭제된 파일의 복사본 저장 가능성 존재

- 사건 파일: 복원지점, 쉐도우 복사, 안티 포렌식

• 텍사스 법무장관실 소속의 사이버수사팀, 아동 포르노 게시 사건
• 데이터 삭제 툴로 모든 증거 삭제 -> 쉐도우 복사를 이용해 복원 지점으로부터 사진 복원

---

10. 프리패치

• 프리패치 파일은 특정 프로그램이 실제로 설치된 적이 있는지 그리고 실행된 적이 있는지 보여줌
• 프리패치(prefetch)는 시스템의 속도를 증가시키기 위한 시도

---

11. 링크 파일

• 링크 파일은 다른 파일을 가리키고 있다.
• "바로 가기" 및 마이크로소프트의 "최근 문서"
• 링크 파일 자체도 날짜와 시간 정보 저장 -> 링크 생성 및 마지막 정보 알 수 있음
• 링크 파일에는 완전한 파일 경로가 저장되어 있을 수 있으므로 파일 존재한 적 없다는 주장에 반박 가능

- 설치된 프로그램

• 특정 소프트웨어가 특정 시점에 제거되었다면 관심을 갖자
• 프로그램 폴더부터 링크와 프리패치 파일 위치까지 흔적 존재 가능

---

12. 요약

• 컴퓨터는 사용자가 모르는 사이에 엄청난 양의 정보를 기록함
• 이 흔적은 다양한 형태로 저장되어 있으며, 외장 저장 매체도 식별 가능, 휴지통도 분석 가능
• 프린트 스풀링, 최대 절전모드, 복원 지점으로 생성된 복사본이 남아있을 수 있음
• 이는 RAM 부족 시 하드 드라이브의 페이지 파일에서도 찾을 수 있다.
• 특정 파일, 행동 그리고 이벤트 등 중요 증거가 여러 곳에서 기록됨
• 계정을 식별하는 것이 할 수 있는 최선인 경우가 종종 있다.
• 메타데이터는 언제 파일이 생성, 수정, 접근 그리고 삭제되었는지 알려준다.
• 윈도우 레지스트리와 프리패칭 기능도 잠재적으로 관련이 있는 정보가 될 수 있다.

 

 

 

 

<참고>

이제 시작이야! 디지털 포렌식 - 존 새몬스 지음