윈도우 시스템에서의 증거 수집

포렌식 조사관은 대부분 윈도우 컴퓨터를 상대하게 됨 → 윈도우에 익숙해져야 함 !

 

윈도우 & 여러 개의 윈도우용 소프트웨어 사용하면서 사용자들은 컴퓨터에 흔적을 남김

☞ 포렌식 조사관은 이런 증거를 정확히 식별, 보전, 수집, 해석함

 

 

◆ 삭제된 데이터

 

- 삭제 버튼을 눌러도 데이터 자체는 삭제 X → 파일은 그 자리 그대로 존재

- 파일 삭제 = 컴퓨터에게 파일이 차지하고 있던 공간을 컴퓨터가 필요할 때 사용할 수 있다는 것

 

· 할당된 공간 : 컴퓨터가 사용 중에 있고 기록·유지하고 있는 데이터

                    ☞ 윈도우에서 볼 수 있고 열 수 있는 모든 파일

  - 컴퓨터의 파일 시스템 → 파일을 모니터하고 다양한 정보 기록 ( ex 수정날짜, 엑세스 날짜, 생성 날짜 등)

 

 

◆ 최대 절전모드 파일(HIBERFILE.SYS)

 

· 최대 절전모드 , 하이브리드 절전모드 - 데이터를 RAM에 저장 X, 하드 드라이브에 데이터 저장

                                                     → 데이터를 더 오랫동안 남아있고 더 쉽게 복원 가능 !

 

▶ 대기모드

 전력 절약하기 위함 + 컴퓨터를 최대한 신속하게 작동시킬 수 있도록 하기 위함 

 소량의 전력을 RAM에 지속적 공급 → 데이터 유지

 ( RAM : 휘발성 메모리 → 전력이 없으면 데이터가 사라짐)

 

 ☞ 모든 데이터 존재하므로 포렌식적으로 도움 無

 

▶ 최대 절전모드

 전력 절약하기 위함(데스크톱 < 노트북 컴퓨터에서 사용)

 RAM에 있는 모든 데이터가 하드 드라이브로 이동 → 데이터 제거하기 더 힘듬

 

▶ 하이브리드 절전모드

 위의 두 가지 모드 혼합한 것 - RAM에 최소한의 전력 공급(데이터와 프로그램 보존) & 데이터를 디스크에 기록

 주로 데스크톱에서 사용

 

 

◆ 레지스트리

 

- 설정파일을 위한 데이터베이스

 (사용자와 시스템 구성의 설정 관리함)

- PC가 작동하는 데 있어 핵심적인 역할(컴퓨터의 중추신경) !

- 이용하는 포렌식 툴 : EnCase, FTK 

- 수많은 흔적이 레지스트리에 숨겨져 있음 ( ex 검색어, 실행된 프로그램, 설치된 프로그램, 최근 실행한 파일 등 )

 

· 구조

 - 디렉터리, 폴더, 파일과 같은 트리구조로 구성됨

 

· 속성

 - 특정 사용자 계정 추적, 시스템에 등록된 소유자를 식별함

 - 각 계정에 지정된 보안 식별 번호 or 고유번호 SID 로 컴퓨터에서의 활동 추적 가능

    ( 관리자(administrator) 계정 : 해당 컴퓨터의 모든 권한 가지고 있음 → 무엇이든 가능 )

    ( 게스트 계정 : 비밀번호 입력 없이 사용 가능, 더 적은 권한 가짐 )

 

▶ 외장 드라이브

 사람들이 가장 손쉽게 내부 데이터를 외부로 가지고 나가는 방법 - USB 드라이브 같은 외장 저장 매체 사용

 레지스트리에 있는 데이터 이용 → 외장 기기가 컴퓨터에 연결되어 있었는지의 판단 가능

 

 

◆ 프린트 스풀링

 

· 스풀링

 프린터가 편리한 시간에 프린트를 할 수 있도록 임시로 프린트 작업을 저정함

 스풀링 시 윈도우는 2개의 보조 파일 생성함

 ☞ Enhanced Meta File (EMF) : 프린트하는 문서의 이미지

     스풀 파일 : 프린트 작업 자체에 대한 정보 저장 

 

 이러한 파일들은 프린트 작업이 끝나면 자동 삭제됨

 ( 예외 : 문제가 발생해 문서가 프린트되지 않은 경우, 프린트 작업을 시작하는 컴퓨터에 복사본을 저장하도록 설정되었을 경우 )

 

 프린트 버튼 클릭 후 실제 프린트되는 데까지 시간이 조금 걸렸던 이유 : 스풀링이라는 프로세스를 실행시키기 위해

 

 

◆ 휴지통

 

 휴지통에 보낸 데이터들은 Forensic Toolkit, EnCase 같은 포렌식 툴 사용하면 쉽게 복원가능

 

· 방법 : 파일을 휴지통으로 드래그 or 파일 우 클릭 후 삭제

· 장점 : 쉽게 복원 가능

 

※ 사용자가 휴지통을 거치지 않고 파일을 삭제하는 우회방법

 1) Shift + Delete → 바로 할당되지 않은 공간으로 이동

 2) 컴퓨터 자체에서 휴지통 사용하지 않도록 설정 ( 휴지통 비활성화 )

 

 

◆ 메타데이터

 

 데이터에 대한 데이터

 1) 프로그램 파일 : 프로그램 자체에서 만들날짜, 수정한 날짜, 엑세스한 날짜 + 프로그램 관련 속성(작성자, 기관이름, 컴퓨터 이름 등) 기록·유지

 2) 파일 시스템 : 파일, 폴더 기록·유지 → 파일, 폴더의 생성, 접근, 수정된 날짜·시간 포함

 

· 단점 : 사용자가 시스템의 날짜 수정 가능

           표준시간대가 문제 일으킬 수 있음

 

- 만든 날짜 : 하드 드라이브같이 특정 매체에 언제 파일·폴더가 생성되었는지 표시

                 어떻게 파일이 옮겨졌는지 상관 有 ( 대부분의 파일은 저장, 복사, 드래그, 잘라내기 등으로 옮겨짐)

- 수정한 날짜

- 엑세스한 날짜 : 파일시스템은 파일에 접근할 때마다 엑세스한 날짜가 업데이트됨

                       접근 != 파일을 엶 (열지 않고 파일에 접근 가능 ex 백신으로 스캔, 컴퓨터 자체가 파일에 접근 등)

 

※ 파일의 시간과 날짜를 있는 그대로 받아들이면 X 이러한 설정들은 손쉽게 접근, 수정 가능함

 

▶ 메타데이터 제거

 사람들이 메타데이터와 메타데이터에 저장되어 있는 정보를 염려하기 시작함

 → 다른 사람들과 파일을 공유하기 전 메타데이터를 제거하는 방식으로 해결

 

- 메타데이터 제거하는 툴 多

- 복원된 메타데이터는 용의자가 파일의 존재를 몰랐다고 하는 증언을 반박하는데 사용

  파열일 열거나 수정, 삭제했다면 파일의 존재를 몰랐다는 주장이 힘듬

 

 

◆ 썸네일 캐시

 

컴퓨터에 있는 사진을 좀 더 쉽게 볼 수 있도록 하기 위해 윈도우는 사진을 썸네일(thumbnail) 형태로 저장함

썸네일 파일 - 사용자가 '미리보기'를 윈도우 탐색기에서 선택하면 자동 생성됨

- 윈도우 XP → thumbds.db라는 파일 생성

  윈도우 비스타와 7  → thumbcache.db라는 파일 생성

 

원본 사진이 삭제된 이후에도 이러한 파일들이 그대로 남아있음

→ 파일의 존재 자체가 시스템에서 특정 시점에 사진이 존재했다는 것을 보여줌

 

 

◆ 최근 실행 목록

 

최근 사용한 프로그램, 파일의 바로가기 역할을 하는 링크

마이크로소프트에서 제작함

 

 

◆ 복원 지점 & 쉐도우 복사

 

· 복원 지점

 핵심 시스템 구성과 설정을 특정 시점에 스냅샷 한 것

 컴퓨터에 문제가 생기면 컴퓨터가 잘 작동되던 시점으로 복원가능함

 주요 시스템 이벤트 前 자동으로 시스템에 의해 생성 / 정기적으로 생성 / 사용자가 직접 생성

 복원 지점 기능은 디폴트로 활성화 되어 있음

 매일 자동으로 하나의 스냅샷 생성

 

· 쉐도우 복사

 복원 지점의 소스 데이터

 쉐도우 파일을 사용해 특정 파일이 시간이 경과하며 어떻게 변화하였는지 확인 가능

  이미 삭제된 파일의 복사본이 저장되어 있을 수 있음

 

 

◆ 프리패치(prefetch)

 시스템의 속도를 증가시켜줌

 

· 프리패치 파일 : 특정 프로그램이 실제로 설치된 적 있는지, 실행된 적 있는지 보여줌

 

 

◆ 링크 파일

 다른 파일을 가리켜 지름길 같은 기능을 제공함

 ex) 바로가기, 최근문서

 

 링크 파일 자체에 날짜와 시간 정보 저장됨 → 링크가 언제 생성되고 마지막으로 언제 사용되었는지 확인 가능

 

▶ 설치된 프로그램

 용의자의 컴퓨터에 설치된/설치된 적 있는 소프트웨어의 정보가 유용할 수 있음 !

특히 특정시점에서 제거되었다면 더 !!

 

☞ 프로그램 폴더, 링크 파일, 프리패치 파일 등에서 이러한 흔적 발견 가능