디지털 포렌식 전문가 과정 - 섹션4(개요)

윈도우 포렌식 개요

윈도우에서 파일 유출, 불법 다운, 문서 조작, 저장매체 연결흔적과 같은 흔적들을 분석하는 과정

윈도우 포렌식 범위: 
레지스트리, $MFT, 휴지통, 프리패치, 웹 로그, 쉘백, 점프리스트, 링크파일, 메모리파일(pagefile.sys), 스케쥴러, ADS, 이벤트로그, 썸네일/아이콘 캐시, 서비스 등등

 

 

[1] 레지스트리

시스템정보 & 사용자 정보 확인 가능   ex. 최근 열람한 문서파일 목록, 실행파일 목록, 시스템 정보 등

레지스트리 구성: 

• HKEY CLASS ROOT : 파일연관성과 COM정보
• HKEY CURRENT USER : 현재 시스템 로그인된 사용자 정보(중요)
• HKEY LOCAL MACHINE : 시스템의 하드웨어/소프트웨어 정보(중요)

HKEY LOCAL MACHINE는 하위 하이브 파일로 구성 --> 실제 분석 시 필요한 것은 하이브 파일
하이브 파일이 저장되는 경로 : C:/Windows/system32/config/ SAM, SECURITY, SYSTEM, SOFTWARE
/profile/username/ntuser.dat

- SAM : 로컬 계정 정보와 그룹 정보
- SECURITY : 시스템 보안 정책과 권한 할당 정보
- SOFTWARE : 시스템 부팅에 필요 없는 시스템 전역 구성 정보
- SYSTEM : 시스템 부팅에 필요한 전역 구성 정보
- Ntuser.dat : 사용자 프로파일 정보

• HKEY USERS : 모든 사용자 정보
• HKEY CURRENT CONFIG : 시스템 시작 시 사용되는 하드웨어 정보

--> 다른 이미지파일이나 시스템에서 연결해서 레지스트리를 수집하면 됨!

 

레지스트리 분석 정보 유형

1. 시스템 정보
-HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion
CMD에서 systeminfo명령을 사용한 정보
OS설치 날짜/시각, OS Version, 컴퓨터이름, 조직이름, 운영체제 설치루트폴더 등

2. 설치된 프로그램 목록
-HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Uninstall
-설치된 프로그램 이름, 버전, 게시자, 설치 시각, 설치 위치 

 

3. 컴퓨터이름
-HKLM/SYSTEM/ControlSet00X/Control/ComputerName/ActiveComputerName

4. SID정보
-HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/ProfileList[SID]

5. 마지막 로그인한 사용자 정보
-HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon

6. 시스템 마지막 종료시간
-HKLM/SYSTEM/ControlSet00X/Control/Windows

 

7. 표준 시간대
-HKLM/SYSTEM/ControlSet00X/Control/TimeZoneInformation

 

8. 응용 프로그램 사용 흔적(1/3)
-HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/UserAssist

9. MS OFFICE 사용흔적
-HKCU/SOFTWARE/Microsoft/Office/Version/APP/File MRU
10.  한글 사용흔적
-HKCU/SOFTWARE/HNC/Hwp/Version/HwpFrame_ KOR/RecentFile
11.  Adobe 사용흔적
-HKCU/SOFTWARE/Adove/Acrobat Reader/DC/AVGeneral/CrecentFiles/
12. 검색기 이용 검색어 목록
-HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/WordWheelQuery

13. 최근 열어본 파일 흔적
-HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/RecentDocs

14. 저장매체 연결 흔적
-HKLM/SYSTEM/ControlSet00X/Enum/USBSTOR/[DID]
-HKLM/SYSTEM/CurrentControlSet/DeviceClasses/{DID}

15. 작업표시줄 고정 리스트 정보
-HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Taskband

16. 최근 읽거나 저장한 파일 목록
-HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/ComDig32/OpenSavePidMRU
17. 최근에 접근 폴더 흔적
-HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/ComDig32/LastVisitedPidMRU

18. 서비스 및 드라이버 목록
-HKLM/SYSTEM/ControlSet00X/Services

19. 타이핑한 URL 목록
-HKCU/SOFTWARE/Microsoft/Internet Explorer/TypedURLs
20. 즐겨찾기 목록
-HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/MenuOrder/Favorites/Links
21. 응용프로그램 호환성 캐시(1/2)
-HKLM/SYSTEM/ControlSet00#/Control/Session Manager/AppCompatCache
-호환성 문제가 발생했던 응용프로그램의 정보 저장

22.  부팅시 자동 실행 되는 S/W 흔적(1/2)
-HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogo/Shell
-HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
-HKLM/SOFTWARE/Wow6432Node/Microsoft/Windows/CurrentVersion/Run
-HKCU/Software/Microsoft/Windows/CurrentVersion/Run

23.  명령프롬프트 실행 시 자동 시작되는 S/W
-HKLM/SOFTWARE/Microsoft/Command Processor

24. 레지스트리 편집기에서 마지막으로 접근한 키에 대한 정보
-HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Applets/Regedit

레지스트리 분석도구
Process Monitor(http://technet.microsoft.com/enus/sysinternals/bb896645)
RegShot(http://sourceforge.net/projects/regshot/)
RegRipper(http://regripper.net/)
REGA (http://forensic.korea.ac.kr)

 

 

[2] 웹 브라우저

웹 서버와 쌍방향 통신을 통해 HTML문서나 파일을 동기화 하고 출력하는 응용S/W

Chrome의 점유율이 매우 높음

 

웹 브라우저 획득 정보: 

• Cache정보 : 방문사이트 접속 시 자동으로 받는 정보
• History 정보 : 사용자가 방문한 웹사이트 주소 정보
• Cookie 정보 : 웹사이트에서 사용자의 HDD에 저장 시켜놓는 사용자 데이터
• Download 정보 : 사용자가 웹 상에서 받은 파일에 대한 정보

Chrome에서의 경로

 

 

[3] $MFT

특정 파일에 대한 메타데이터 정보를 저장함 --> 파일의 생성, 수정, 삭제 시간 정보를 확인 가능

$MFT저장경로 : %ROOT% 아래 

파일을 export해서 분석하면 됨

 

[4] Link File

.lnk확장자를 가지는 파일

사용자가 파일에 엑세스 할 경우 남는 파일

링크 파일을 분석하면서 밑의 정보들을 확인할 수 있음

 

 

[5] Recycle.bin

윈도우에서 파일 삭제 할 경우, 기본적으로 휴지통으로 이동하게 됨

파일 삭제 시 $R~ / $I~파일이 생성 됨

• $R파일: 실제 삭제된 데이터
• $I파일: 파일 크기,  삭제된 파일 시간, $R파일에 대한 원본 경로 저장

[강의자료 42페이지]

 

 

[6] Thumbnail

윈도우 폴더 미리보기 기능

한번 저장된 썸네일은 원본이 지워져도 썸네일 파일은 남아있음

 

썸네일 레지스트리 경로
-HKEY USER/<USER SID>/Software/Microsoft/Windows/CurrentVersion/Explorer

--> 들어가면 .db파일로 저장되어 있음

 

분석도구: Thumcache Viewer

 

 

[7] IconeCache

외부저장장치/광학드라이브 사용흔적 확인

안티 포렌식도구 사용흔적(아이콘)

악성코드흔적

----> 프로그램을 삭제 하여도 Icon정보는 남아있음

 

레지스트리 설정 경로
-HKEY LOCAL MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer

 

 

[8] Prefetch

실행 파일이 사용하는 시스템을 특정 파일에 미리 저장 해놓은 파일

윈도우 부팅 시 프리패치 파일을 모두 메모리에 로드함 --> 실행 속도 빠름

 

경로: C:/Windows%Prefetch/

분석 도구: WinPrefetchView

 

 

[9] JumpList

응용 프로그램 사용 흔적/ 최근 접근한 폴더 및 문서 표시

각 데이터는 고유의 ID를 부여받음

 

경로: %UserProfile%/AppData/Roaming/Microsoft/Windows/Recent

 

 

[10] EventLog

운영체제에서 발생되는 변화를 기록함

이벤트 로그 저장 경로 : C:/Windows/System32/winevt/Logs

ex. 사용자 추가/삭제, 로그인 성공/실패, 원격접속 성공/실패,윈도우 부팅/종료, 애플리케이션 설치 등 기록

각 고유한 코드가 있음

 

 

[11] ShellBag

파일이 만들어질 때 생성되며, 탐색기를 사용할 때 폴더의 크기, 보기, 아이콘 및 위치를 유지/ 관리하기 위해 사용하는 레지스트리 키 집합

- 존재하는 폴더의 삭제/덮어쓰기에 대한 증거추적
- 사용자가 탐색기를 통해 특정 폴더에 접근한 타임 추적

 

경로(윈도우 7이상): HEKY/USERS/{USERID}/Local Settings/Software/Microsoft/Windows/Shell/

 

 

[12] 증거능력

- 진정성
- 무결성(Integrity: 원본으로부터 증거 처리절차 관정 동안 수정, 변경, 손상이 없어야 함)
- 원본성
- 신뢰성

 

원칙
1) 위법수집증거 배제원칙
2) 독수독과 이론
3) 전문증거/ 전문법칙
4) 자유심증주의
5) 법정증거주의
6) 무죄추정원칙