일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | ||
6 | 7 | 8 | 9 | 10 | 11 | 12 |
13 | 14 | 15 | 16 | 17 | 18 | 19 |
20 | 21 | 22 | 23 | 24 | 25 | 26 |
27 | 28 | 29 | 30 | 31 |
- 웹 프레임워크
- 무료교육
- 호이스팅
- pwnable.tw
- 디오판투스 알고리즘
- 개인정보보호교육
- 가명정보처리
- 마감임박
- 개인정보안전성
- 한국정보보호산업협회기자단
- 모듈러 연산
- 국가인적자원개발컨소시엄
- 한국산업인력공단
- package.json
- 한국정보보호산업협회
- 확장 유클리드 알고리즘
- 유클리드_알고리즘
- 백엔드입문
- 개인정보보호
- 곱셈 암호
- node.js
- 개인정보보호위원회
- 동적타이핑
- function scope
- 덧셈 암호
- package-lock.json
- 백엔드
- 포너블
- Writeup
- arrow function
- Today
- Total
짱짱해커가 되고 싶은 나
04. 윈도우 시스템의 증거 본문
윈도우 OS는 데스트톱 시장의 90%를 차지하기 때문에 대부분의 조사관은 윈도우 OS를 다룰 확률이 높다.
그리고 윈도우 자체에서 데이터를 복원하고 추적하는 기능이 있기 때문에 윈도우 시스템을 잘 알고 있어야한다.
윈도우 시스템의 증거로 사용되는 것들을 몇 가지 짚어보자.
* 삭제된 데이터
데이터를 삭제해도 파일을 차지하고 있는 공간이 할당 가능해지는 것이지 그 공간이 초기화 되는 것은 아니다. 즉, 그 공간이 덮어쓰이기 전까지는 삭제한 파일의 정보가 그대로 남아있는 것이다. (파일 카빙: 이를 데이터를 수집하는 작업)
* 절전 모드
절전 모드는 총 3가지가 있는데 최대 절전 모드와 하이브리드 절전 모드의 경우 데이터를 하드드라이브에 저장하기 때문에 복원이 더 쉽다. HIBERFILE.SYS 파일에는 이렇게 절전모드로 변경 시 운영체제의 상태에 대한 모든 정보를 저장하고 있다.
- 최대 절전 모드: 데이터 RAM에 저장x, 하드 드라이브에 저장
- 하이브리드 절전 모드: 대기 + 최대 절전
- 대기 모드: 데이터 RAM에 저장(소량의 전력으로 RAM의 데이터 유지, 포렌식적 도움x)
* 윈도우 레지스트리
사용자와 시스템 구성 설정을 트리 구조로 관리하는 곳으로 수많은 잠재적 증거들이 저장되어 있다.
ex) 검색어, 실행된 프로그램, 최근 실행 파일, 휴지통 비활성화(NukeOnDelete:1), 암호화 파일 해독의 힌트 정보 등
레지스터의 활용 예로, 범죄 증거가 담긴 외장하드는 본인 것이 아니고 노트북은 본인 것이라고 주장할 경우 노트북의 레지스트리에서 USBStor 키 항목을 확인해서 외장 하드의 시리얼 번호와 목록을 확인한다.(외장 하드드라이브의 연결 흔적) 그리고 이를 검증하기 위해 외장하드 + 쓰기 방지 하드+ 랩 컴퓨터를 연결했을 때의 USBStor 키 값을 비교한다. 값이 같다면 유죄를 증명할 수 있다.
* SID(보안 식별 번호)
각 계정마다 존재하며 SID로 특정 행동/이벤트를 특정 계정에 연결시키기 때문에 SID로 어떤 계정이 활동했는지를 추적할 수 있다.
* 프린트 스풀링
프린터가 편리한 시간에 프린트 할 수 있도록 임시로 프린트 작업을 저장하는데 이 때 2개의 보조 파일을 생성한다. 이 파일들은 프린트 작업이 끝나면 보통 자동으로 삭제되지만 문제가 발생해서 프린트되지 않았다거나 컴퓨터 복사본을 저장하도록 설정되어 있을 경우 남아있을 수 있다.
- EMF(Enhanced Meta File): 프린트하는 문서 이미지
- 스풀 파일(.sp): 프린트 작업 자체에 대한 정보 ex) 프린터/컴퓨터의 이름, 요청한 사용자 계정
* 메타 데이터
메타 데이터도 2종류로 볼 수 있다.
- 프로그램 파일 메타데이터 ex)작성자, 컴퓨터 이름, 기관 이름
- 파일 시스템 메타데이터 ex)파일/폴더 속성
만든 날짜(특정 매체에 파일/폴더가 생긴 시점), 수정한 날짜, 엑세스한 날짜(!=열었다, 컴퓨터 자체가 접근 가능 ex)백신 스캔, 자동 업데이트) 등을 알 수 있는데 이 때 주의할 점은 사용자가 시스템의 시간대를 수정할 수 있으므로 무조건 신뢰해서는 안된다.
* 썸네일 캐시
미리보기를 누르면 윈도우가 자동으로 썸네일 캐시를 생성한다. 이는 원본 사진이 삭제되도 그대로 남아있기 때문에 썸네일 캐시를 발견한다면 특정 시점에 해당 사진이 존재했다는 것을 증명할 수 있다.
* 복원 지점
핵심 시스템 구성과 설정을 특정 시점에 스냅샷 한 것으로 이를 이용해 시스템을 다시 작동 할 수 있도록 복구할 수 있다. 복원 지점도 메타데이터를 갖고 있기 때문에 복원 지점이 언제 생성됐는지를 알 수 있다.
* 쉐도우 복사
복원 지점의 소스 데이터로 복원 지점과 증거들을 삭제했어도 쉐도우 복사를 이용해 복원이 가능하다. 이런 쉐도우 복사를 활용하면 시간별로 파일이 어떻게 변했는지를 증명할 수 있다.
* 프리패치 파일
해당 프로그램의 프리패치 파일이 존재한다면 이는 실제 설치되고 실행된 적이 있다는 것을 증명할 수 있다.
* 링크 파일
링크 파일에도 날짜와 시간 정보가 있어서 링크가 언제 생성되고 마지막으러 사용됐는지를 알 수 있다. 또, 저장 매체가 연결되어 있지 않더라도 완전한 파일 경로가 저장되어 있다. 이는 해당 파일이나 폴더가 존재한 적이 없다고 주장할 때 링크 파일을 증거로 반박할 수 있음을 의미한다.
'forensic' 카테고리의 다른 글
[NONamed Wargame] 우리의 추억들 Writeup (0) | 2021.01.30 |
---|---|
05. 인터넷과 이메일 포렌식 (0) | 2021.01.23 |
[NONamed Wargame] infect writeup (0) | 2021.01.18 |
03. 디지털 증거 (0) | 2021.01.17 |
02. 포렌식 랩과 툴 (0) | 2021.01.13 |