일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
Tags
- Multimeida
- 네트워크관리사2급
- 는 하지마...
- 네트워크 보안
- 2022시작
- ZIP 파일구조
- vinetto
- 디지털포렌식
- 슬퍼유
- html
- pythonchallenge
- 포렌식
- 실기
- 윈도우 프로세스 종류
- 디지털포렌식 with CTF
- slack space
- memory
- blkls
- 윈도우 프로세스
- Multimedia
- network
- 24시간의 전사
- disk
- Window process
- 생활코딩
- 정보처리기사 필기 합격
- CTF-D
- ftz
- 생활코딩 html
- N0Named
Archives
- Today
- Total
ssoL2 TISTORY
[이제 시작이야! 디지털 포렌식] Chapter 5 윈도우 시스템에서의 증거 수집 본문
데스크톱 시장의 90%(Brodkin, 2011)는 윈도우를 사용하고 있으며
포렌식 조사관은 대부분 윈도우 컴퓨터를 상대해야 한다.
1. 삭제된 데이터
- 삭제된 데이터는 다른 파일로 덮어써지기 전까지 그대로 남아있게 된다.
파일 카빙 : 할당되지 않은 공간에 있는 데이터를 수집하는 작업 |
- 할당된 공간 : 컴퓨터가 사용 중에 있고 기록 및 유지하고 있는 데이터
- 즉, 윈도우에서 볼 수 있고 열 수 있는 모든 파일
- 파일 시스템은 이러한 파일을 관리하고 기록함
2. 최대 절전모드 파일(HIBERFILE.SYS)
- 최대 절전모드와 하이브리드 절전모드는 데이터를 RAM에 저장하지 않고 하드 드라이브에 저장
- 컴퓨터는 "잠"을 세 가지 모드 1. 대기모드 2. 최대 절전모드 3. 하이브리드 절전모드 등
- 각 모드는 전력을 전력할 목적으로 사용됨
- 대기모드
- 전력 절약의 목적도 있지만 컴퓨터를 최대한 신속하게 작동시키기 위함의 목적
- 대기모드에서는 소량의 전력을 RAM에 지속적으로 공급하여 데이터 유지
- 대기모드는 RAM에 모든 데이터가 존재하므로 포렌식적으로 아무 도움 X
- 최대 절전모드
- RAM에 있는 모든 데이터가 하드 드라이브로 옮겨지며 데이터 제거에 더 hard
- 하이브리드 절전모드
- 앞의 설명한 두 가지 모드 혼합
- 즉, RAM에 최소한의 전력을 공급하여 데이터를 디스크에 기록
3. 레지스트리
- 윈도우 레지스트리(Windows Registry) : 설정파일을 위한 데이터베이스
- 레지스트리는 사용자와 시스템 구성의 설정을 관리
- 포렌식 관점에서 레지스트리에 수많은 증거 및 흔적 존재(검색어, 실행된 프로그램, 설치된 프로그램, 웹 주소 등)
- 레지스트리 구조
- 디렉터리, 폴더 그리고 파일과 같은 트리 구조
- 거의 모든 포렌식 검사에서 레지스트리 검사
- 암호화된 파일 해독 시 필요한 정보 저장되어 있을 수 있음
- 사건 파일: 윈도우 레지스트리
- 텍사스주의 휴스턴, 신용카드 범죄사건
- 컴퓨터의 NTUSER.DAT, 레지스트리 그리고 "Protected Storage System Provider" 조사
- 사건 파일: 윈도우 레지스트리와 USBStor
- 텍사스 오스틴의 조그만한 도시, 아동 포르노 사건
- 외장하드에 아동 포르노 발견 -> 노트북 시스템의 레지스트리 USBStor 키 항목 발견
- 속성
- 누가 흔적을 생성되게 했는지 알아야 함
- 하나의 PC에 여러 개의 사용자 계정 등록 가능
- 기본적으로 관리자, 게스트 계정 생성
- 관리자 계정은 해당 컴퓨터의 모든 권한 지님 BUT 게스트는 적은 권한
- 컴퓨터의 각 계정에는 보안 식별번호 또는 SID라는 고유 번호 지정, 이를 통해 특정 계정 추적
- 외장 드라이브
- 외장기기가 연결되어 있었는지의 유무는 레지스트리로 판단 가능
- 레지스트리에는 기기의 제조사와 시리얼 번호도 저장
4. 프린트 스풀링
- 스플링은 프린터가 편리한 시간에 프린트를 할 수 있도록 임시로 프린트 작업 저장(Tech Target)
- 스풀링 시 윈도우는 두 개의 보조 파일 생성
- 1. Enhanced Meta File(EMF) - 프린트 문서 이미지 2. 스풀 파일 - 프린트 작업 자체에 대한 정보
- 스풀 파일(.spl)은 프린터 이름, 컴퓨터 이름 그리고 프린터에게 프린트 작업을 전송한 사용자 계정 등
- 그러나 스풀 파일은 금방 삭제되는데, 예외의 두 가지 경우 존재
- 1. 문제 발생하여 프린트되지 않았을 경우 2. 프린트 작업 시 컴퓨터에 복사본 저장하게 설정해 놓은 경우
- 협박 편지, 위조된 계약서, 탈취한 고객 목록 등
5. 휴지통
- 포렌식 툴을 이용해 휴지통 파일 쉽게 원상 복원 가능
휴지통 기능 -> 일반적으로 파일을 삭제하면 휴지통으로 옮겨진다고 생각한다. 실제로는 아니다. 파일 그 자체는 원래 있던 자리에 그대로 남아있게 된다. |
- Shift+Delete 혹은 휴지통 사용하지 않도록 설정한다면 휴지통 자체를 거치지 않는다.
- 일반인들은 휴지통을 맹신하기에 잠재적 증거 파일을 찾기에 좋은 곳
휴지통 비활성화 -> 레지스트리의 "NukeOnDelete" 값이 "1"로 설정되어 있다면 휴지통을 사용하지 않도록 설정되어 있다는 것 |
6. 메타데이터
- 데이터에 대한 데이터
- 메타데이터는 프로그램 파일과 파일 시스템 두 가지 종류
- 파일 시스템 메타데이터는 "속성"을 선택하면 볼 수 있다.
- 1. 만든 날짜 : 특정 매체에 언제 파일 및 폴더가 생성되었는지 표시
- 2. 수정한 날짜 : 파일이 수정되어 저장되면 수정한 날짜와 시간이 설정됨
- 3. 엑세스한 날짜 : 파일시스템은 파일에 접근할 때마다 엑세스한 날짜 업데이트(백신 스캔 및 자동 접근 등)
시간과 날짜 -> 파일의 시간과 날짜를 그대로 믿으면 안된다 !! 손쉽게 접근 및 수정 가능하며, 하나 이상의 표준시간대 사용시 더 복잡해짐 |
- 프로그램 메타데이터 또한 시간과 날짜 저장되며 다양한 속성 추적 가능(작성자, 기관이름, 컴퓨터 이름 등)
- 메타데이터 제거
- 정보 염려되어 파일 공유 전에 메타데이터 제거
- 메타데이터를 제거하는 툴들이 여러 개 존재(마이크로소프트의 기능)
- 복원된 메타데이터는 용의자의 파일의 존재 몰랐음에 대한 반박으로 사용
- 사건파일: 메타데이터
- 텍사스의 휴스턴, 신용카드 복제 사건
- "복제" 정보를 저장하고 있는 마이크로소프트 워드 문서 발견
- 문서의 작성자 찾아서 두 번째 수색 시 카드 데이터 축출 하드웨어 발견
7. 썸네일 캐시
- 썸네일(thumbnail) 파일은 사용자가 "미리 보기"를 선택하면 윈도우가 자동으로 생성함
- 윈도우 버전에 따라 두 가지 종류의 썸네일 파일
- 1. 윈도우 XP -> thumbds.db 2. 윈도우 비스타와 7 -> thumbcache.db
- 흥미로운 점은 원본 사진이 삭제된 이후에도 이러한 파일 그대로 남아있다는 것
- 원본 사진 복원 못했더라도 차선책 가능
8. 최근 실행 목록
- 최근 실행 목록은 최근 사용한 프로그램이나 파일의 바로 가기 역할을 하는 링크
- 마이크로소프트의 노력의 한 예
9. 복원 지점과 쉐도우 복사
- 윈도우는 컴퓨터에 문제가 생기면 잘 작동되던 시점인 복원 지점으로 돌아갈 수 있다.
- 복원 지점
- 핵심 시스템 구성과 설정을 특정 시점에 스냅샷을 한 것(Microsoft Corporation)
- 복원 지점은 여러 가지 방법으로 만들어짐
- 1. 소프트웨어 설치 같이 주요 시스템 이벤트 전에 자동으로 시스템에 의해 생성
- 2. "주 1회"같이 정기적으로 생성
- 3. 사용자가 직접 생성
- 복원 지점 기능은 디폴트로 활성화되어 있어 매일 자동으로 하나의 스냅샷 생성됨
- 마이크로소프트는 이 정보를 보호하기 위해 일반 사용자들이 볼 수 없도록 함
- 복원 지점에는 메타데이터 존재 -> 그 어떤 곳에도 존재하지 않은 증거 포착 대박 !
- 사건 파일: 인터넷 사용 기록과 복원 지점
- 아동 포르노 소장, 해당 사이트 실수로 방문 사건
- 지난 2개월간의 복원 지점 확인 -> 사이트 여러 번 방문 + 직접 URL 입력 발견
- 쉐도우 복사
- 쉐도우 복사는 복원 지점의 소스 데이터
- 특정 파일이 시간 경과에 따른 변화 증명 가능
- 또한 이미 삭제된 파일의 복사본 저장 가능성 존재
- 사건 파일: 복원지점, 쉐도우 복사, 안티 포렌식
- 텍사스 법무장관실 소속의 사이버수사팀, 아동 포르노 게시 사건
- 데이터 삭제 툴로 모든 증거 삭제 -> 쉐도우 복사를 이용해 복원 지점으로부터 사진 복원
10. 프리패치
- 프리패치 파일은 특정 프로그램이 실제로 설치된 적이 있는지 그리고 실행된 적이 있는지 보여줌
- 프리패치(prefetch)는 시스템의 속도를 증가시키기 위한 시도
11. 링크 파일
- 링크 파일은 다른 파일을 가리키고 있다.
- "바로 가기" 및 마이크로소프트의 "최근 문서"
- 링크 파일 자체도 날짜와 시간 정보 저장 -> 링크 생성 및 마지막 정보 알 수 있음
- 링크 파일에는 완전한 파일 경로가 저장되어 있을 수 있으므로 파일 존재한 적 없다는 주장에 반박 가능
- 설치된 프로그램
- 특정 소프트웨어가 특정 시점에 제거되었다면 관심을 갖자
- 프로그램 폴더부터 링크와 프리패치 파일 위치까지 흔적 존재 가능
12. 요약
- 컴퓨터는 사용자가 모르는 사이에 엄청난 양의 정보를 기록함
- 이 흔적은 다양한 형태로 저장되어 있으며, 외장 저장 매체도 식별 가능, 휴지통도 분석 가능
- 프린트 스풀링, 최대 절전모드, 복원 지점으로 생성된 복사본이 남아있을 수 있음
- 이는 RAM 부족 시 하드 드라이브의 페이지 파일에서도 찾을 수 있다.
- 특정 파일, 행동 그리고 이벤트 등 중요 증거가 여러 곳에서 기록됨
- 계정을 식별하는 것이 할 수 있는 최선인 경우가 종종 있다.
- 메타데이터는 언제 파일이 생성, 수정, 접근 그리고 삭제되었는지 알려준다.
- 윈도우 레지스트리와 프리패칭 기능도 잠재적으로 관련이 있는 정보가 될 수 있다.
<참고>
이제 시작이야! 디지털 포렌식 - 존 새몬스 지음
'read > 이제 시작이야! 디지털 포렌식' 카테고리의 다른 글
[이제 시작이야! 디지털 포렌식] Chapter 6 안티포렌식 (0) | 2021.01.27 |
---|---|
[이제 시작이야! 디지털 포렌식] Chapter 8 인터넷과 이메일 (0) | 2021.01.24 |
[이제 시작이야! 디지털 포렌식] Chapter 4 증거 수집 (0) | 2021.01.18 |
[이제 시작이야! 디지털 포렌식] Chapter 3 랩과 툴 (0) | 2021.01.18 |
[이제 시작이야! 디지털 포렌식] Chapter 2 핵심적인 기술 개념 (2) | 2021.01.18 |
Comments