디지털 포렌식 # 5장

# Chapter 5

 

-      윈도우 시스템에서의 증거 수집

 

 

<삭제된 데이터>

 

: 삭제된 데이터는 다른 데이터로 덮어써지기 전까지 그대로 남아있게 된다.

 

‘파일 카빙’

: 하드드라이브에서 할당되지 않은 공간에 저장된 제이터를 수집하는 것.

수작업 또는, 툴을 이용할 수 있다.

할당되지 않은 공간에 있는 파일은 특정 속성으로 식별한다.

*-> 파일 헤더/푸터

: 파일을 식별하고 파일의 처음/끝을 표시하는 데에 사용된다.

 

‘할당된 공간’

: 컴퓨터가 사용 중에 있고 + 기록/유지하고 있는 데이터

“윈도우에서 볼 수 있고 + 열 수 있는 모든 파일”

컴퓨터의 파일 시스템은 이러한 파일을 모니터하고, 다양한 정보를 기록한다.

 

 

<최대 절전모드 파일 “HIBERFILE.SYS”>

 

컴퓨터가 ‘낮잠’을 자는 것 : “사이버 낮잠”

: 컴퓨터가 얼마나 ‘깊게’ 자느냐에 따라 더 많은 잠재적 증거가 생성될 수 있다.

-      “잠”

->

1. 대기모드

2. 최대 절전모드

3. 하이브리드 절전모드

 

각 모드는 전력을 절약할 목적으로 사용되며, 컴퓨터마다 다르다

 

-       ‘깊은 잠’ 모드

: 최대 절전 모드, 하이브리드 절전모드

RAM에 데이터를 저장하지 않고 하드드라이브에 저장한다.

(드라이브에 저장된 데이터는 더 오랫동안 남아있고
+ 더 쉽게 복원 가능)

 

1] 대기모드

 

: 전력을 절약하기 위한 + 컴퓨터를 최대한 신속하게 작동시킬 수 있도록 하는 목적

소량의 전력을 RAM에 지속적으로 공급하여 데이터가 유지될 수 있도록 한다.

(*RAM : 휘발성 메모리, 전력이 공급되지 않으면 데이터가 소실됨.)

이 모드는 RAM에 모든 데이터가 그대로 남아있으므로, 포렌식적으로는 무의미.

 

2] 최대 절전모드

 

: 전력 절약 목적

노트북 컴퓨터에서 주로 사용된다.

RAM에 있는 모든 데이터가 하드드라이브로 옮겨짐 -> 데이터를 제거하기 힘들어진다.

 

3] 하이브리드 절전모드

 

: [1] + [2]

RAM에 최소한의 전력 공급
-> 데이터와 프로그램 보존 + 데이터를 디스크에 기록

데스크톱에서 주로 사용된다.

절전모드 파일은 대부분의 사용자에게 알려져있지 않음
-> 범죄자들이 종종 놓치는 부분

 

<레지스트리>

 

“윈도우 레지스트리”

: PC가 작동하는 데에 핵심적인 역할

 

 

‘설정파일을 위한 데이터베이스’

 

: 컴퓨터의 중추신경

사용자와 시스템 구성의 설정을 관리

포렌식적으로 잠재적으로 수많은 증거, 흔적들이 저장되어 있음

(잠재적 증거ex
: 검색어, 실행된/설치된 프로그램, 웹주소, 최근 실행한 파일)

 

 

‘레지스트리 구조’

 

: 트리구조

4개의 수준으로 나뉜다.

레지스트리를 보기 위해서는 재해석 툴이 필요.

->주요 포렌식 툴 : EnCase, FTK

 

 

‘외장 드라이브’

 

ex : USB 드라이브, 외장 하드 등

 

<프린트 스풀링>

 

“스풀링”

: 프린터가 편리한 시간에 프린트를 할 수 있도록 임시로 프린트 작업을 저장한다.

 

윈도우는 두개의 보조 파일을 생성

-> 1. EMF로 프린트하는 문서의 이미지

-> 2. 스풀 파일 : 프린트 작업 자체에 대한 정보를 저장

 

프린터 이름, 컴퓨터 이름, 프린터에게 프린트 작업을 전송한 사용자 계정 등… 알 수 있음

(나중에 증거로 사용될 수 있는 정보들)

 

프린트 작업이 끝나면 보통 자동으로 삭제됨

-      예외

-      1. 문제가 발생하여 문서가 프린트되지 않았을 경우

-      2. 프린트 작업을 시작하는 컴퓨터에 복사본을 저장하도록 설정되었을 경우

 

 

<휴지통>

: 파일을 삭제하면
-> 파일 그 자체는 원래 있던 자리에 그대로 남아있게 된다.
(휴지통으로 옮겨지는 것이 아니다.)

파일이 휴지통에 있는 한, 다시 복원이 가능하다.

휴지통을 비우면, 복원 불가능

 

삭제된 파일/폴더가 모두 휴지통으로 옮겨지는 것은 아니다.

-      우회 방법

-      1. Shift + Delete
: 휴지통을 거치지 않고 바로 ‘할당되지 않은 공간’으로 이동된다.

-      2. 휴지통 비활성화
: 컴퓨터 자체에서 휴지통을 사용하지 않도록 설정
-> 삭제된 파일은 휴지통으로 오지 않음.

(“NukeOnDelete”값이 1로 설정되어 있으면, 이 기능이 활성화되어 있다는 의미.)

 

휴지통은 여러 종류의 잠재적 증거 파일을 찾기 좋은 곳

 

 

 

<메타데이터>

 

: “데이터에 대한 데이터”

-      프로그램 파일

-      파일 시스템 : 파일&폴더를 기록 + 유지
파일을 우클릭하여 ‘속성’에 가서 여러 정보를 볼 수 있음

l  만든 날짜

l  수정한 날짜

l  엑세스한 날짜

 

 

*시간&날짜 : 있는 그대로 받아들여서는 안된다.

이러한 설정들은 손쉽게 접근/수정이 가능하므로 맹신 금지.

프로그램 자체에서도 메타데이터를 생성 + 저장할 수 있다.

프로그램과 관련된 다양한 속성을 추적할 수 있다.

 

 

‘메타데이터 제거’

 

: 다른 사람과 파일을 공유하기 전에 메타데이터를 제거
-> 정보 보호

여러 가지의 툴 존재

 

 

 

<썸네일 캐시>

 

: 컴퓨터에 있는 사진을 좀 더 쉽게 볼 수 있게 하기 위해, 윈도우는 사진을 작게 만들어 썸네일의 형태로 저장.

“미리보기”를 윈도우 탐색기에서 선택하면 윈도우가 자동으로 파일을 생성

 

-> 윈도우 버전에 따라 두 가지 종류의 파일 생성

 

-      윈도우 XP : thumbds.db

-      윈도우 비스타 7 : thumbcache.db

 

원본 사진이 삭제된 이후에도 남아있다.

->원본사진을 복원하지 못해도 썸네일을 차선의 증거로 사용할 수 있다.

(파일의 존재 자체가 시스템에서 특정 시점에 원본 사진의 존재를 증명해준다.)

 

 

 

<최근 실행 목록>

 

: 최근 사용한 프로그램/ 파일의 바로가기 역할을 하는 링크

윈도우의 시작 버튼을 누르고 문서 부분을 보면 여러 문서가 보인다

-> 최근 실행 목록

 

 

 

<복원 지점 & 쉐도우 복사>

 

: “컴퓨터의 시간여행” 역할

 

 

‘복원 지점’

 

: 핵심 시스템 구성 + 설정을 특정 시점에 스냅샷 한 것.

스냅샷 -> 시스템 복구에 사용된다.

 

-      여러 방법으로 만들어진다.

-      1. 주요 시스템 이벤트 전에 자동으로 시스템에 의해 생성.

-      2. 정기적으로 생성

-      3. 사용자가 직접 생성

 

-      * 복원 지점 기능

: 디폴트로 활성화되어 있음.

매일 자동으로 하나의 스냅샷이 생성된다.

복원 지점에는 메타데이터가 저장되어 있다.

->복원 지점이 언제 생성되었는지 판단하는 데 매우 중요.

 

 

 

‘쉐도우 복사’

 

: 복원 지점의 소스 데이터

특정 파일이 시간이 경과하면서 어떻게 변화하였는지 증명할 수 있다.

이미 삭제된 파일의 복사본이 저장되어 있을 수도 있다.

 

 

 

<프리패치>

 

: 시스템의 속도를 증가시키기 위한 시도 중 하나

특정 프로그램이 실제로 설치/실행된 적 있는지 보여준다.

-      “Evidence Eliminator” : 이것이 있는 것 자체만으로도 강력한 증거!

 

 

 

<링크 파일>

 

: “지름길”

다른 파일을 가리킨다.

사용자가 직접 만들수도/ (보통) 컴퓨터가 만들수도 있다.

ex : 프로그램/ 폴더에 만드는 ‘바로가기’

 

링크 파일에도 날짜 + 시간 정보가 저장되어 있다.

->링크가 언제 생성되고, 마지막에 언제 사용되었는지 알 수 있음.

 

 

‘설치된 프로그램’

 

: 설치되어 있는/설치 되었던 소프트웨어 정보가 유용하게 사용될 수 있다.

이러한 흔적 -> 여러 곳에서 발견 가능

ex : 프로그램 폴더, 링크/프리패치 파일