Digital Forensic [Windows Artifact 분석]

Windows Artifact 분석

​

Windows 파일

IE History, 임시인터넷 파일, Cookie

Prefetch File

Recycle Bin

Shortcut File

Log Files

Jump List

Backup/Restore

​

Windows 파일 - 파일 시간 분석

일반 파일 및 폴더 

만든시각(Created Time) : 파일이 생성된 시간 

수정한시각(Modified Time) : 파일이 수정된 시간 

접근시각(Accessed Time) : 파일이 읽혀진 시간

​

위의 세가지를 약자로 MAC 이라고 한다.

​

임시 인터넷 파일(Temporary Internet Files)

최종수정시각(Last Modified Time) : 다운로드 받기 전 이미 서버상 에서 생성된 시간 

최종접근시각(Last Accessed Time) : 일반 파일과 동일 

최종확인시각(Last Checked Time) : 서버에 저장된 파일의 최종수 정시각과 임시 인터넷 파일(cache)의 최종수정시각과 비교한 시각

​

작업에 따른 파일의 MAC 시간 변경

파일 생성 

[수정한날짜], [만든날짜], [접근날짜] 모두 일치 

파일 이름변경 

[접근날짜]만 변경  파일 내용수정  [수정한 날짜],[접근날짜] 변경 

파일 복사 

[만든날짜], [접근날짜] 변경 

파일 이동 

[접근날짜]만 변경 

파일 다운로드 (브라우저, FTP, Zmodem등) 

[만

든날짜], [수정한날짜], [접근날짜] 변경 

메신저에 의한 파일생성 (MSN) 

[만든날짜], [수정한날짜], [접근날짜] 변경 

파일 압축 해제 

[만든날짜],[접근날짜] 변경

파일 생성시 MAC이 모두 일치

​

파일 복사시 생성 날짜, 엑세스 날짜만 바뀜.

​

위의 파일 생성 , 복사는 이론과같이 일치하지만 파일 이동 및 이름 변경시 에 발생되는 MAC의 변경 여부는 Window version 에 따른 차이,환경설정에 따라 변수가 많다 또한 window xp 이후 버전부터는 파일에 관련된 사용자 접근시 발생하는 시간변경에 대해 모두 기록하지 않고 1시간 간격으로 기록한다 이벤트 발생시 발생되는 I/O 가 많아져서 과부하가 발생되기 때문이다. 따라서 이런게 있구나 정도만 이해하고 넘어가야 할듯하다.

​

Last Access Time (접근날짜) 이슈 (NTFS 기준)

​

Last Access Time Disable

- HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisableLas tAccessUpdate 

- 0:Inactive, 1:Active

Last Access Time 변경 이슈

최근 Access Time이 이전 Access Time과의 차이가 1시간 이상이 될 때까지 최근 Access Time으로 변경되는 것이 지연될 수 있다. 

파일이 수정되는 경우는 Access Time도 변경

​

FAT File System 특징

FAT 파일 시스템은 NTFS 와 다르게 Directory Entry에 Create Date/Time, Write Date/Time, Access Date가 존재하고 Access Time은 존재하지 않는다.

​

UTC 와 Local Time

파일 시간 분석 및 파일 시간 증거수집 을 하기 위해서는 반드시 국제 표준시를 준수해야 한다.

GMT (Greenwich Mean Time): 그리니치 천문대 표준시 (평균 태양 시) 

UTC (Coordinated Universal Time): 국제 표준시 

Local Time: 한국의 경우 GMT/UTC +9

​

​

​

FAT 파일 시스템과 NTFS 파일 시스템의 시간기록 차이점

​

Windows의 시간 기록 (FAT32)

​

Windows의 시간 기록 (NTFS)

​

Windows 파일 분석- History 파일

인터넷 익스플로러(IE)를 사용해 접속 했던 웹사이트의 URL 목록

History 정보 보기 BrowsingHistoryView (www.nirsoft.net)

History 파일 분석 

1. 과거에는 URL의 Query String 부분에 ID/Password가 포함되어 있는 경우가 있었으나, 현재는 보안 문제로 인하여 SSL 또는 그에 준하는 보안 기능을 이용하며 Post 방식으로 서버로 전송 

2. Hits 수로 자주 방문하는 사이트 조회 가능 (포탈 제외) 

3. 최근 방문한 사이트 또는 이슈가 되는 날짜에 방문 했던 사이트 조회 가능 

4. 검색 사이트의 경우 URL의 Query String에 검색 키워드가 존재하므로 어떤 검색을 시도했는지 확인 가능

​

임시인터넷 파일(Cache, Temporary Internet File) 

방문한 사이트에 대한 임시 저장 파일로서 동일 웹 페이지 접속 시 속 도 향상을 위하여 다시 웹 페이지를 인터넷에서 가져오지 않고 임시 저 장 파일을 재사용 하는데 사용

​

Cache 정보 보기 

IECacheView (www.nirsoft.net)

임시인터넷 파일 분석 

1. 삭제되어진 파일의 경우 Encase 등으로 복구 

2. 방문한 사이트에 대한 웹 페이지, 이미지, Script 등이 저장되어 있으므로 해당 사이트의 내용을 확인할 수 있음 

3. 업데이트 되지 않은 웹 페이지 내용 확인 가능 

4. Email, ID, 주민번호, 수신 메일 내용 등 확인 가능

​

Cookie 

1. 웹 사이트와 사용자의 시스템간의 매체 역할 

2. 사용자 정보, 세션 정보 등 저장 관리

​

쿠키에는 2가지가 있다 하드디스크에 저장되는

반영구적 쿠키 Persistent Cookie : 하드디스크에 저장

Temporary Cookies : 브라우저 종료시 자동 삭제

​

Windows 파일 분석 - 휴지통 파일

​

Windows XP 삭제된 파일 

\Recycler\%USER_SID%\ 폴더에 rename되어 저장 

Rename 형식 : D%drive_letter%%index_number%.%file_extention%

​

Windows Vista 이후 버전의 삭제된 파일 

\$Recycle.Bin\%USER_SID%\ 폴더에 rename되어 저장 

Rename 형식 : $R%randum_characters%.%file_extention% 

INFO2 파일(554Byte) : $I%randum_characters%.%file_extention%

​

​

Windows Server 파일 분석 – Log Files

로그 정의 

어떤 트랜잭션이 데이터베이스의 어떤 값을 갱신할 때 갱신 전의 값 과 후의 값을 로그에 먼저 기록하는 것. 트랜잭션의 시작과 완료, 철 회 등의 정보도 로그에 기록된다.(TTA 용어사전)

​

로그 생성 목적

문제 발생 시 로그 기록을 통해 문제 발생 상황을 파악하고 그 문제 를 해결하기 위해 이용됨. 증거분석에서는 그 로그 기록을 통해 해킹 기록이나 과거의 컴퓨터 상태 등을 역추적함.

​

Windows 로그 종류

Event 로그 

IIS(Internet Information Server) 로그 

기타 응용프로그램

​

Event Log

Windows가 동작하는 중 발생하는 상태를 파일에 기록함 

Windows 설치 시 기본적으로 구성되어 있음 

-단 보안이벤트는 설정을 해야 함 

응용 프로그램 로그는 응용 소프트웨어에서 프로그래밍 가능함 

Event 로그 파일은 자체 형식을 가지고 있음  시간 기록이 로컬 타임으로 저장됨

​

응용 프로그램 로그 

-Windows에서 사용하는 응용 프로그램의 활동 내역을 기록 

-로그 내용은 개발자가 기록을 원하는 정보나 에러 등을 포함 

​

시스템 로그 

Windows 시스템 구성 요소와 관련된 활동 내역을 기록 

-주로 하드웨어 장치나 드라이버의 오류 정보나 하드웨어 동작 여부 기록 

-네트워크 인터페이스 카드의 연결 여부와 같은 하드웨어 기록이나 이 벤트 

-서비스 시작/중지 등과 같은 시스템 서비스 활동 내용 등

​

보안 로그 

-보안 로그에 기록된 이벤트 형식은 로컬 보안 정책(관리도구->로컬 보안 정책->감사 정책)을 통해 설정 

-파일 생성, 삭제 등의 하드웨어 자원 여부 사용과 관련된 이벤트 

-로그온 시도의 성공/실패와 같은 보안 이벤트 

-원격지에서 접속을 시도한 로그온 이벤트, 특정 파일 및 디렉터리를 생성한 자원 사용 이벤트 등을 기록

​

​

로그분석을 통해 얻을 수 있는 정보

사용자가 특정 파일에 접근했는지 

누가 시스템에 성공적으로 로그인 했는지 

누가 시스템에 로그인 실패했는지 

특정 어플리케이션 사용 여부 

감사 정책 변경 여부 

사용자 권한 변경 여부

​

​

인터넷 사용기록 History

BrowsingHistoryView 프로그램을 이용하여 인터넷 사용기록의 History 파일을 열람할수 있다.

​

프로그램 실행시 기록이 확인되는것을 알수 있다, 위의 URL 정보로 GET방식으로 전송되는 값들은 URL상에 노출되기 때문에 분석 대상자의 잠재적 행위 , 행동을 추측 , 분석할수 있다.

​

해당 url을 클릭하면 상세 결과가 나온다.

​

과거에는 URL의 Query String 부분의 ID/PASSWD가 포함되어 있는 경우가 있었으나, 현재는 보안 문제로

인항 ssl 또는 그에 준하는 보안 기능을 이용하여 POST방식으로 서버로 전송 한다.

​

이러한 인터넷 사용기록 , 흔적은 주기적으로 삭제를 해줘야 할 필요성이 있다, 무료로 배포하는 고클린,백신프로그램 등을 이용하여 주기적으로 정리해야 한다 그렇지 않으면 브라우저 속도가 느려지고 미세한 차이지만 PC성능이 저하된다.

​

​

Windows 파일 분석 - 휴지통 파일

Windows Vista 이후 버전의 삭제된 파일

\$Recycle.Bin\%USER_SID%\ 폴더에 rename되어 저장

Rename 형식 : $R%randum_characters%.%file_extention%

INFO2 파일(554Byte) : $I%randum_characters%.%file_extention%

​

휴지통이 있는 파일의 경로는 C:\$Recycle.Bin 경로에 있다 $ 는 숨김파일이며 해당 경로에서 dir / ah 명령어를 입력하면

해당 시스템의 유저 SID 에 대한 정보가 나온다 각 사용자별로 휴지통의 목록이 있기때문에 분리 한것이다.

위의 사용자 SID 값을 이용하여 해당 SID 경로로 이동하여 삭제된 파일을 열람해보자 !

​

경로를 사용자의 SID 를 입력후 DIR 명령어를 입력하였더니 삭제된 파일의 내용이 들어가있는것을 확인할수있다.