이제 시작이야 디지털 포렌식 - 교보문고
디지털 포렌식 입문을 위한 첫걸음『이제 시작이야! 디지털 포렌식』. 이 책은 디지털 포렌식에 새로이 입문하는 사람들에게 탄탄한 기초를 제공하는 입문서이다. 디지털 포렌식이 무엇인지,
www.kyobobook.co.kr
5. 윈도우 시스템에서의 증거 수집
윈도우 자체를 툴로 활용 가능하다 → 데이터를 복원하고 사용자가 남긴 발자국을 추적할 수 있음
그러므로 윈도우 운영체제와 윈도우의 모든 기능에 대해 자세히 이해하고 있는 것이 중요하다.
[삭제된 데이터]
컴퓨터에서 파일 삭제 버튼을 누르는 것만으로는 파일이 완전히 삭제되지는 않는다.
삭제된 데이터는 다른 파일로 덮어써지기 전까지 그대로 남아있게 된다.
▶ 파일 카빙
* 하드 드라이브에서 할당되지 않은 공간에 있는 데이터를 수집하는 것
* 할당되지 않은 공간에 있는 파일은 특정 속성으로 식별하는데, 파일 헤더와 푸터가 그 예시이다.
* 헤더와 푸터는 파일을 식별하고 파일의 처음과 끝을 표시하는 데 사용될 수 있다.
할당된 공간
* 할당된 공간이란 컴퓨터가 사용 중에 있고 기록 및 유지하고 있는 데이터를 의미함
* 컴퓨터의 파일 시스템은 이러한 파일을 모니터하고 이러한 파일에 대한 다양한 정보를 기록함
[최대 절전모드 파일(HIBERFILE.SYS)]
대기모드, 최대 절전모드, 하이브리드 절전모드 등
'잠'을 자는 모드는 데이터를 RAM에 저장하지 않고 하드 드라이브에 데이터를 저장한다.
드라이브에 저장되었던 데이터는 더 오랫동안 남아있고 더 쉽게 복원할 수 있다.
대기모드
* 대기모드의 목적은 전력을 절약하는 것과 컴퓨터를 최대한 신속하게 작동시킬 수 있도록 하는 것
* 마이크로소프트는 이 상태를 "DVD 플레이어를 일시 정지하는 것"으로 비교
* 대기모드에서는 소량의 전력을 RAM에 지속적으로 공급하여 데이터가 유지될 수 있도록 함
* RAM은 휘발성 메모리인데, 대기모드는 RAM에 모든 데이터가 존재하기 때문에 포렌식적으로 도움이 되지는 않음
최대 절전모드
* 최대 절전모드는 데스크톱보다는 노트북에서 주로 사용됨
이 모드에서는 RAM에 있는 모든 데이터가 하드 드라이브로 옮겨지는데, 데이터를 삭제하기 어려워짐
하이브리드 절전모드
* 하이브리드 절전모드는 대기모드와 최대 절전모드를 혼합한 것으로, 데스크톱에서 사용됨
* RAM에 최소한의 전력을 공급해서 데이터와 프로그램을 보존하여 데이터를 디스크에 기록함
[레지스트리]
윈도우 레지스트리는 PC가 작동하는 데 있어 핵심적인 역할을 한다. 마이크로소프트의 TechNet은 레지스트리를 "설정파일을 위한 데이터베이스"라고 정의하고 있다.
레지스트리는 사용자와 시스템 구성의 설정을 관리하는데, 레지스트리에는 검색어, 실행된 프로그램, 설치된 프로그램, 웹 주소, 최근 실행한 파일 등 잠재적인 증거가 저장되어 있다.
레지스트리 구조
* 레지스트리는 윈도우에서 사용했던 디렉터리, 폴더 그리고 파일과 같은 트리 구조로 구성되어 있음
* 레지스트리는 4개의 수준으로 나뉘어져 있는데, 거의 모든 포렌식 검사에서 레지스트리를 검사함
속성
* 컴퓨터의 각 계정에는 보안 식별번호 또는 SID라는 고유 번호가 지정되어 있음
* SID로 컴퓨터에서 많은 활동을 추적할 수 있음
외장 드라이브
* USB 드라이브 같은 외장 저장 매체를 연결된 흔적이 있는지 확인을 요청하는 경우가 많음
* 외장 기기가 연결되어 있었는지 아닌지는 레지스트리에 있는 데이터로 판단할 수 있음
* 레지스트리는 이러한 정보를 상당히 자세하게 기록하는데, 기기의 제조사와 시리얼 번호도 저장되어 있음
[프린트 스풀링]
프린트를 하는 것도 추적할 수 있는 흔적을 남기는데, 프린트 버튼을 클릭한 후에 실제 프린트하는 데까지 시간이 조금 걸린다. 이 프로세스가 스풀링이다.
스풀링은 프린터가 편리한 시간에 프린트를 할 수 있도록 임시로 프린트 작업을 저장한다.
스풀링을 할 때 윈도우는 두 개의 보조 파일을 생성한다. 하나는 EMF로 프린트하는 문서의 이미지, 다른 하나는 스풀 파일로서 프린트 작업 자체에 대한 정보를 저장하는 파일이다.
스풀 파일(.spl)은 프린터 이름, 컴퓨터 이름 그리고 프린터에게 프린트 작업을 전송한 사용자 계정 등에 대해 알려준다. 스풀 파일은 일반적으로 프린트 작업이 끝나면 보통 자동으로 삭제되지만, 예외인 경우가 몇 가지 있다.
1. 문제가 발생하여 문서가 프린트되지 않았을 경우
2. 프린트 작업을 시작하는 컴퓨터에 복사본을 저장하도록 설정되었을 경우
[휴지통]
휴지통에 들어간 파일은 언제든지 쉽게 복구할 수 있다. 사용자가 휴지통 자체를 거치지 않게 할 수도 있다.
1. Shift+Delete를 누르면 휴지통을 거치지 않고 바로 할당되지 않은 공간으로 이동된다.
2. 컴퓨터 자체에서 휴지통을 사용하지 않도록 설정한다.
-> 레지스트리를 확인한다. "NukeOnDelete"값이 1로 되어 있으면 이 기능이 활성화되어 있다는 의미
[메타데이터]
메타데이터는 "데이터에 대한 데이터"라고 정의되는데, 프로그램 파일과 파일 시스템 등 두가지 종류가 있다.
파일시스템 메타데이터에는 파일이나 폴더가 생성, 접근 또는 수정된 날짜와 시간이 포함된다.
이러한 메타데이터가 조사에는 매우 유용할 수 있지만, 사용자가 시스템의 시간을 수정할 수 있기 때문에 완전히 신뢰해서는 안 된다.
메타데이터 제거
* 사람들은 다른 사람들과 파일을 공유하기 전에 메타데이터를 제거하는 방식을 많이 사용함
* 메타데이터를 제거하는 툴이 존재
[썸네일 캐시]
윈도우에서는 사진을 좀 더 쉽게 볼 수 있도록 하기 위해, 사진을 썸네일(thumbnail) 형태로 저장한다.
사용자가 "미리보기"를 윈도우 탐색기에서 선택하면 윈도우가 자동으로 생성한다.
윈도우 XP는 thumbds.db라는 파일을 생성하고 윈도우 비스타와 7은 이와 비슷한 thumbcache.db라는 파일을 생성한다.
원본 사진이 삭제된 이후에도 이러한 썸네일 파일들이 그대로 남아있다.
[복원 지점과 쉐도우 복사]
복원 지점
* 핵심 시스템 구성과 설정을 특정 시점에 스냅샷을 한 것인데, 시스템을 다시 작동할 수 있도록 복구하는 곳에 사용됨
* 소프트웨어 설치같이 주요 시스템 이벤트 전에 자동으로 시스템에 의해 생성되거나, 정기적으로 생성되거나, 사용자가 직접 생성할 수 있음
* 복원 지점 기능은 디폴트로 활성화되어 있으며 매일 자동으로 하나의 스냅샷이 생성됨
* 복원 지점에는 메타데이터(데이터에 대한 데이터)가 저장되어 있는데, 이 정보는 복원 지점이 언제 생성되었는지 판단하는 데 매우 중요함
* 복원 지점에 증거가 저장되어 있으면 정확히 언제 데이터가 시스템에 존재하고 있었는지 알 수 있음
쉐도우 복사
* 쉐도우 복사는 복원 지점의 소스 데이터
* 쉐도우 파일을 사용하여 특정 파일이 시간이 경과하면서 어떻게 변화하였는지 증명할 수 있음
* 이미 삭제된 파일의 복사본이 저장되어 있을 수도 있음
[프리패치]
프리패치(prefetch)는 시스템의 속도를 증가시키기 위한 시도 중 하나이다.
프리패치 파일을 통해서 특정 프로그램이 설치된 날짜와 실행된 날짜를 알 수 있다.
[링크 파일]
링크 파일은 지름길과 같은 기능을 제공하는데, 다른 파일을 가리키고 있다.
링크 파일 자체에 날짜와 시간 정보가 저장되어 있기 때문에 링크가 생성된 날짜와 마지막으로 사용된 날짜를 알 수 있다.
설치된 프로그램
* 특정 소프트웨어가 특정 시점에 제거되었다면 그 흔적을 여러곳에서 발견할 수 있음
* 설치되어 있는 또는 설치되었던 적이 있는 소프트웨어의 정보에 대한 흔적은 여러 곳에서 발견할 수 있음