728x90

책 소개

제목: 이제 시작이야 디지털 포렌식

내용: 디지털 포렌식의 입문자들을 위한 책으로 포렌식의 기초를 다루고 있다. (비전공자들도 쉽게 보고 이해할 수 있음.)

개인적인 평가: 번역이 아쉬움.... (원문을 접할 수 있다면, 원문 보는 것을 추천함.)

 

http://www.yes24.com/Product/Goods/7526115

 

이제 시작이야! 디지털 포렌식

디지털 포렌식 입문을 위한 첫걸음 이 책은 디지털 포렌식에 새로이 입문하는 사람들에게 탄탄한 기초를 제공하는 입문서다. 디지털 포렌식이 무엇인지, 어떠한 방법론이 사용되는지, 핵심적인

www.yes24.com

저번 글에 이어서 5장을 정리하는 시간을 갖도록 하겠습니다.

※5장부터는 중요한 내용이 많이 들어있습니다.

 

5장 윈도우 시스템에서의 증거 수집

서론

거의 대부분의 사람들이 사용하는 컴퓨터, 노트북의 운영체제는 윈도우로 포렌식을 하는 입장에서 윈도우 운영체제를 다룰 확률이 매우 높습니다. 그러므로, 윈도우 운영체제와 윈도우의 모든 기능에 대해서 자세히 이해하고 있는 것이 매우 중요합니다.

5장에서는 윈도우 운영체제에서 남는 흔적들을 식별하고 수집하는 방법에 대해서 다룰 것입니다.

 

1. 삭제된 데이터

파일을 삭제하는 것은 컴퓨터에게 해당 파일이 차지하고 있는 공간을 사용할 수 있다고 알려주는 것이며, 새로운 다른 파일로 덮이기 전까지 삭제된 데이터는 남는다.

▶ 단순히 삭제 버튼을 누른다고 삭제되는 것이 아님.

 

더불어, 컴퓨터의 파일 시스템은 특정 파일의 마지막 수정 날짜, 엑세스 날짜, 생성 날짜 등을 기록하고 유지한다.

 

=> 이러한 요소들이 증거 수집에 활용됨. (ex. 할당되지 않은 공간에서의 데이터 수집: 파일 카빙)

 

2. 최대 절전모드 파일(HIBERFILE.SYS)

컴퓨터도 사람처럼 쉬는 시간을 가질 수 있음. => 최대 절전모드, 하이브리드 절전 모드 등.

 

이때, 최대 절전, 하이브리드 절전과 같은 "깊은 잠" 모드는 데이터를 RAM에 저장하지 않고 하드 드라이브에 저장함.   => 데이터가 더 오래 남고, 더 쉽게 복원이 가능함.

 

대기모드

대기모드는 전력을 절약하기 위한 목적과 컴퓨터를 최대한 신속하게 작동시킬 수 있게 하려는 목적을 가진다.

즉, 대기모드에서는 소량의 전력을 RAM에 지속적으로 공급하여 데이터가 유지됨.

=> 포렌식적으로 아무 도움이 되지 않음. 

최대 절전모드

대기모드와 마찬가지로 전력을 절약하기 위한 모드이지만,

RAM에 있는 모든 데이터가 하드 드라이브로 옮겨진다. 즉, 데이터 제거가 어려워짐

(주로 노트북에서 사용됨.)

=> 포렌식적으로 도움이 됨.

하이브리드 절전모드

대기모드와 최대 절전모드를 혼합한 것으로 주로 데스크톱에서 사용됨.

RAM에 최소한의 전력을 공급하여(데이터와 프로그램을 보존하며) 데이터를 디스크에 기록한다.

즉, 대기모드처럼 RAM에 지속적으로 전력 공급을 유지하며 최대 절전모드처럼 데이터가 디스크에 기록됨.

 

3. 레지스트리

레지스트리는 사용자와 시스템 구성의 설정을 관리하며, 포렌식 관점에서 수많은 흔적이 숨겨져 있다.

흔적의 예로, 검색어, 실행된 프로그램, 설치된 프로그램, 웹 주소, 최근 실행 파일 등이 있다.

 

레지스트리는 윈도우에서 작업할 때 사용하는 디렉터리, 폴더 그리고 파일과 같은 트리 구조로 구성되어 있다. 

 

일반적으로 누가 그 흔적을 생성되게 했는지 판별할 때, 컴퓨터의 계정을 판별하는 요소로 사용한다.

컴퓨터의 각 계정에는 보안 식별번호 또는 SID라는 고유 번호가 있으며, SID를 통해 컴퓨터에서의 많은 활동을 추적할 수 있다.

 

외장 기기가 연결되어 있었는지 아닌지에 대해서 판별할 때, 레지스트리에 있는 데이터를 통해서 판별할 수 있다.

=> 레지스트리에 기기의 제조사와 시리얼 번호 등의 자세한 정보가 기록되기 때문에 판별이 가능함.

 

더 자세한 내용은 다음 사이트를 참조하기 바랍니다. (https://m.blog.naver.com/PostView.nhn?blogId=rbdi3222&logNo=220597850076&proxyReferer=https:%2F%2Fwww.google.com%2F)

 

윈도우 ] 레지스트리란?

레지스트리란 윈도우계열 시스템에서 사용하는 시스템 구성 정보를 저장한 데이터베이스를 말한다. 프로세...

blog.naver.com

4. 프린트 스풀링

포렌식에서 사용자의 프린트 활동도 살펴보는 경우가 존재함.

(ex. 협박 편지, 위조된 계약서, 탈취한 고객 목록 등의 잠재적 증거 수집을 위함)

 

스풀링: 프린터가 편리한 시간에 프린트를 할 수 있도록 프린트 작업을 저장함.

 

스풀링을 할 때, 윈도우는 두 개의 보조 파일을 생성하는데,

하나는 Enhanced Meta File(EMF)로 프린트하는 문서의 이미지이며, 다른 하나는 스풀 파일로서 프린트 작업 자체에 대한 정보를 저장한다.

 

스풀 파일(.spl) 프린터 이름, 컴퓨터 이름 그리고 프린터에게 프린트 작업을 전송한 사용자 계정 등에 대한 정보를 담고 있다.

=> 유용한 정보를 담고 있지만, 프린트 작업이 끝나면 대부분 자동으로 삭제된다.

 

예외

  • 문제가 발생하여 문서가 프린트되지 않은 경우 파일이 남아 있음.
  • 프린트 작업을 시작하는 컴퓨터에 복사본을 저장하도록 설정된 경우 파일이 남음.

5. 휴지통

휴지통은 많은 사람들이 기능을 알 정도로 많이 사용하는 기능 중 하나이다.

일반적으로 데이터를 삭제할 때, 휴지통에 버리고 휴지통을 비우는 방식을 취한다. 

실은, 파일이 휴지통으로 옮겨지는 것이 아니며, 파일은 원래 그 자리에 남아 있는다. (덮어지기 전까지)

 

더불어, 휴지통에 버린 파일은 쉽게 복구될 수 있다.

(휴지통 비우기로 삭제한 파일은 일반인들이 복구하기 어려울 수 있음.)

 

6. 메타데이터

메타데이터는 데이터에 대한 데이터로, 크게 프로그램 파일과 파일 시스템 두 가지 종류가 있다. 

(ex. 쉽게 말해서 파일을 우클릭하여 "속성"을 선택하면 메타데이터 정보를 볼 수 있음.)

 

파일 시스템은 파일과 폴더를 기록하고 유지하는데,

파일 시스템 메타데이터에는 파일이나 폴더가 생성, 접근 또는 수정된 날짜와 시간을 포함한다.

 

※여기서 주의할 점은 날짜와 시간 정보가 조사에는 유용할 수 있지만, 사용자가 시스템의 시간을 수정할 수 있어서 백 퍼센트 신뢰해서는 안됨.

 

만든 날짜: 하드 드라이브 같이 특정 매체에 언제 파일이나 폴더가 생성되었는지 표시함.

 

수정한 날짜: 파일이 수정되어 저장되면 수정한 날짜와 시간이 설정된다.

 

엑세스한 날짜: 파일 시스템은 파일에 접근할 때마다 엑세스한 날짜가 업데이트된다.

(파일에 접근했다는 것은 단순히 파일은 열었다는 것만을 의미하지 않는다. 컴퓨터 자체가 파일에 접근할 수도 있음.)

 

프로그램 자체에서도 메타데이터를 생성하고 저장할 수도 있음.

파일 시스템과 마찬가지로 프로그램도 만든 날짜, 수정한 날짜 그리고 엑세스한 날짜를 기록하고 유지할 수 있는데, 추가적으로 작성자, 기관이름, 컴퓨터 이름 등 다양한 속성이 포함된다.

 

더불어, 메타데이터를 삭제할 수 있는 여러 툴들이 존재함.

 

7. 썸네일 캐시 

썸네일은 컴퓨터에 있는 사진을 좀 더 쉽게 볼 수 있도록 하기 위해 윈도우가 사진을 작게 만든 사진이다.

(사용자가 "미리 보기"를 윈도우 탐색기에서 선택하면 윈도우가 자동으로 썸네일을 생성한다.)

 

일반적인 사용자들은 썸네일 파일의 존재를 잘 모르며, 원본 사진을 삭제해도 썸네일 파일은 남게 된다.

즉, 원본 사진을 복원하지 못해도 썸네일을 차선의 증거로 사용이 가능함

 

8. 복원 지점과 쉐도우 복사

컴퓨터에 문제가 생기면 컴퓨터가 잘 작동하던 시점으로 돌아갈 수 있도록 윈도우에서는 복원 지점을 사용한다.

 

복원 지점

복원 지점은 핵심 시스템 구성과 설정을 특정 시점에 스냅샷을 한 것으로 시스템을 다시 작동할 수 있도록 복구하는 곳에 사용된다.

 

복원 지점은 여러 가지 방법으로 만들어지는데, 복원 지점 기능이 디폴트로 활성화되어 있어 매일 자동으로 하나의 스냅샷이 생성된다. 

(ex. 소프트웨어 설치 같이 주요 시스템 이벤트 전에 자동으로 시스템에 의해 생성될 수 있음)

 

일반적인 사용자들은 복원 지점에 대한 정보를 보기 어려움.

 

쉐도우 복사

쉐도우 복사는 복원 지점의 소스 데이터특정 파일이 시간이 경과하면서 어떻게 변화였는지 증명하는 데 사용될 수 있다.

 

더불어, 이미 삭제된 파일의 복사본이 저장되어 있을 수도 있다.

 

9. 프리패치

프리패치는 시스템의 속도를 증가시키기 위한 시도 중에 하나로, 프로그램 실행 시간을 줄여준다.

exe 프로그램이 실행되면 프리패치 파일이 생성되는데, 이를 통해서 특정 프로그램이 실제로 설치된 적이 있는지 그리고 실행된 적이 있는지를 알 수 있다.

 

10. 링크 파일

링크 파일은 다른 파일을 가리키고 있어, 지름길과 같은 기능을 제공한다. 예를 들어, "바로 가기" 와 같은 것이 해당된다.

 

링크 파일 자체에 날짜와 시간 정보가 저장되어 있기 때문에 언제 생성되고 마지막으로 언제 사용되었는지 알 수 있다. 더불어, 링크 파일에는 완전한 파일 경로가 저장되어 있을 수 있다.

 

설치된 프로그램

용의자 컴퓨터에 설치되어 있는 또는 설치되었던 적이 있는 소프트웨어의 정보가 유용할 수 있는데,

이런 흔적들을 여러 곳에서 발견할 수 있다.

(ex. 프로그램 폴더, 링크와 프리패치 파일이 있는 곳)

 

 

 

 

 

728x90

'CyberSecurity > 디지털 포렌식' 카테고리의 다른 글

[디지털 포렌식의 기초] 6장 안티 포렌식 | 데이터 은폐, 크랙 방법, 스테가노그래피, 데이터 파괴  (1) 2021.01.31
[디지털 포렌식의 기초] 8장 인터넷과 이메일 | 인터넷 개요, 웹 브라우저 - 인터넷 익스플로러, 이메일, 소셜 네트워크 사이트  (1) 2021.01.24
[디지털 포렌식의 기초] 4장 증거 수집 | 범죄 현장과 증거 수집, 사건 현장 문서화, 연계보관성, 클로닝, 살아있는 시스템과 죽어있는 시스템, 해싱  (1) 2021.01.17
[디지털 포렌식의 기초] 3장 랩과 툴 | 포렌식 랩의 역할과 구조, 랩에서의 정책 및 절차, 품질 보증, 디지털 포렌식 툴, 인가 vs 자격증  (0) 2021.01.16
[디지털 포렌식의 기초] 2장 핵심적인 기술 개념 | 비트 바이트, 파일 시그니처, 데이터 저장 방식, RAM, 데이터의 휘발성, 컴퓨터 환경, 활성 데이터, 숨은 데이터 및 아카이브 데이터, 파일 시스..  (4) 2021.01.10

티스토리툴바