[포렌식] 3주차 - 윈도우 시스템에서의 증거 수집

(2021.01.26)

 

포렌식 스터디 3주차에 해당하는 부분을 읽고 정리했다.

chapter 5 - 윈도우 시스템에서의 증거수집 

 

book.naver.com/bookdb/book_detail.nhn?bid=7007687

이제 시작이야! 디지털 포렌식

참고도서: 이제 시작이야! 디지털 포렌식

---

 

| 최대 절전모드 파일(HIBERFILE.SYS)

대기모드

- 소량의 전력을 RAM에 지속적으로 공급해서 데이터가 유지될 수 있도록 함

- RAM 은 휘발성 메모리로 전력이 없으면 데이터가 사라짐

 

최대 절전모드

- 데스크톱보다는 노트북에 주로 이용

- RAM에 있는 모든 데이터가 하드 드라이브로 옮겨지면서 데이터를 제거하기 어려움

 

하이브리드 절전모드

- 대기모드 + 최대 절전모드

- 주로 데스크톱에서 이용

- RAM에 최소한의 전력을 공급하여 데이터를 디스크에 기록함

 

 

| 레지스트리

윈도우 레지스트리는 PC가 작동하는데 있어 핵심적인 역할을 함

레지스트리는 사용자와 시스템 구성의 설정을 관리함

레지스트리에 수많은 흔적이 숨겨져있음 ( 검색어, 실행된 프로그램, 웹 주소, 최근 실행한 파일 등)

 

레지스트리 구조

- 디렉터리, 폴더, 파일과 같은 트리구조로 구성되어있음

- 레지스트리는 4개의 수준으로 나뉘어져있음

- 주요 포렌식 툴인 EnCase 와 FTK는 레지스트리를 이해하기 쉽게 재해석하는 툴이 필요함

 

속성

- 특정 사용자 계정을 추적하거나 시스템에 등록된 소유자를 식별하는 것이 더 쉬움

- PC는 디폴트로 관리자와 게스트 두 개의 계정을 생성함

- 관리자 계정은 해당 컴퓨터의 모든 권한을 가지고 있음

- 컴퓨터의 각 계정에는 보안 식별번호/SID 라는 고유 번호가 지정되어 있음

(-->SID를 통해 특정 행동이나 이벤트를 특정 계정에 연결할 수 있음)

 

 

| 프린트 스풀링

스풀링: 프린트 버튼을 클릭한 후에 실제 프린트되는데 까지 시간이 조금 걸리는데 그 사이 시간

스풀링은 프린터가 편리한 시간에 프린트를 할 수 있도록 임시로 프린트 작업을 저장함

스풀링할 때 윈도우는 2개의 보조 파일을 생성함

--> Enhanced Meta File (EMF) : 프린터하는 문서의 이미지임

--> 스풀파일 : 프린트 작업 자체에 대한 정보를 저장하고 있음

 

스풀파일(.spl)은 프린터 이름, 컴퓨터 이름 그리고 프린터에게 프린트 작업을 전송한 사용자 계쩡 등에 대해 알려줌

--> 스풀파일은 금방 삭제됨

 

 

| 휴지통

휴지통 기능

- 파일이 삭제되면 휴지통으로 옮겨진다고 생각하지만, 파일 그 자체는 원래 있던 자리에 그대로 남아있게 됨

 

휴지통 비활성화

- NukeOnDelete 값이 1로 되어 있으면 이 기능이 활성화되어 있다는 의미임

 

 

| 메타데이터

메타데이터: 데이터에 대한 데이터

--> 프로그램 파일과 파일 시스템 등 2가지 종류가 있음

 

파일 시스템은 파일과 폴더를 기록하고 유지함

파일 시스템 메타데이터에는 파일이나 폴더가 생성, 접근 또는 수정된 날짜와 시간을 포함함

 

 

 

| 썸네일 캐시

썸네일: 컴퓨터에 있는 사진을 좀 더 쉽게 볼 수 있도록 사진을 작은 형태로 저장함

썸네일 파일은 사용자가 "미리보기"를 윈도우 파일에서 선택하면 윈도우가 자동으로 생성함

--> 윈도우 XP: thumbds.db,  윈도우 비스타와 7: thumbcache.db

 

 

| 복원지점과 쉐도우 복사

복원지점

- 핵심 시스템 구성과 설정을 특정 시점에 스냅샷한 것

- 메타데이터가 저장되어 있음

 

쉐도우 복사

- 복원지점의 소스 데이터

- 쉐도우 파일을 사용하여 특정 파일이 시간이 경과하면서 어떻게 변화했는지 증명할 수 있음

 

 

| 프리패치

- 프리패치는 시스템의 속도를 증가시키기 위한 시도 중의 하나임

- 프리패치 파일은 특정 프로그램이 실제로 설치된 적이 있는지, 실행된 적이 있는지 보여줌