[이제 시작이야! 디지털 포렌식 : THE BASICS -5장 윈도우 시스템에서의 증거 수집-]

www.kyobobook.co.kr/product/detailViewKor.laf?ejkGb=KOR&mallGb=KOR&barcode=9788994774206&orderClick=LEa&Kc=

이제 시작이야 디지털 포렌식 - 교보문고

 

5장 윈도우 시스템에서의 증거 수집에서는 정보, 증거의 흔적, 목적 그리고 포렌식 관점에서의 중요성에 대해 살펴본다.

---

[삭제된 데이터]

삭제된 데이터는 다른 파일로 덮어써지기 전까지 그대로 남아있게 된다. 그리고 파일이 덮어써지기 전까지 상당한 시간이 걸릴 수도 있다.

파일 카빙 : 하드 드라이브에서 할당되지 않은 공간에 존재하는 매우 중요한 증거를 수집하는 것 (수작업이나 툴을 사용)

                   -헤더와 푸터로 파일을 식별하고 파일의 처음과 끝을 표시-

 

 

[최대 절전모드 파일]

* 대기모드, 최대 절전모드, 하이브리드 절전모드가 있다.

* 대기모드, 최대 절전모드 ,하이브리드 절전모드 일 경우 데이터를 RAM에 저장하지 않고 하드 드라이브에 데이터를 저장한다. 하드 드라이브에 저장된 데이터는 오랫동안 남아있고 쉽고 복원이 가능하다. 용의자가 삭제한 파일을 여기서 찾을 가능성이있다.

 

대기모드

* 전력을 절약하고 컴퓨터를 신속하게 작동시킬 수 있도록 한다.

* 대기모드는 RAM에 모든 데이터가 존재하기 때문에 포렌식적으로 아무 도움이 되지 않는다.(RAM이 휘발성 메모리이기 때문)

 

최대 절전모드

* 최대 절전모드 또한 전력을 절약하기 위한 모드이지만 데스크톱보다 노트북 컴퓨터에서 주로 사용된다.

* 이 모드에서 주목할 점은 RAM에 있는 모든 데이터가 하드 드라이브로 옮겨지며 따라서 데이터를 제거하기 더 힘들어진다.

 

하이브리드 절전모드

* 데스크톱에서 주로 사용되며 위에서 설명한 대기모드와 최대 절전모드를 혼합한 것이다.

* RAM에 최소한의 전력을 공급하여(따라서 데이터와 프로그램을 보존하며) 데이터를 디스크에 기록한다.

 

 

증거 인멸을 하려던 용의자들은 이러한 절전모드 파일을 놓칠 수 있다. 하지만 절전모드 파일은 대부분의 사용자에게 알려져 있지 않으며 범죄자들의 최후의 "증거인멸작전"을 하면서 종종 놓치는 부분이다.

 

[레지스트리]

사용자와 시스템 구성의 설정을 관리하며, 포렌식 관점에서 보았을 때 레지스트리에는 잠재적으로 수많은 증거가 저장되어 있다. 우리가 찾고 있는 수많은 흔적이 레지스트리에 숨겨져 있다.

잠재적 증거로는 검색어, 실행된 프로그램, 설치된 프로그램, 웹 주소, 최근 실행한 파일 등이 있다.

 

레지스트리 구조

* 레지스트리는 트리 구조로 구성되어 있다.

* 거의 모든 포렌식 검사에서 레지스트리를 검사하며, EnCase와 FTK인 툴을 이용해 레지스트리를 사람이 이해하기 쉬운 정보로 재해석한다.

* 레지스트리에는 암호화된 파일을 해독하는 데 필요한 정보가 저장되어 있을 수도 있다.

 

[프린트 스풀링]

* 프린트도 추적할 수 있는 흔적을 남긴다. 프린트 버튼을 클릭한 후에 실제 프린트되는 데까지 시간이 조금 걸렸던 것을 느낀 적이 있다. 바로 스풀링이라고 불리는 프로세스를 실행하기 위해 시간이 더 소요되었던 것이다.

 

* 스폴링은 프린터가 편리한 시간에 프린트를 할 수 있도록 임시로 프린트 작업을 저장한다(TechTarget). 스폴링을 할 때 윈도우는 두 개의 보조 파일을 생성한다.

하나는 Enhanced Meta File(EMF)로 프린트하는 문서의 이미지다. 다른 하나는 스풀 파일로서 프린트 작업 자체에 대한 정보를 저장한다.

 

 

[휴지통]

휴지통은 언뜻 보기에 파일을 쉽게 삭제, 복원 할 수 있는 것처럼 보이지만 실제로는 그렇지 않다.

그 결과 휴지통은 별의별 종류의 잠재적 증거 파일을 찾기에 딱 좋은 곳이다.

 

[메타데이터]

메다데이터는 "데이터에 대한 데이터"라고 정의된다.

ex)파일을 우 클릭하여 "속성"으로 가면 파일의 수정된 날짜와 시간을 포함한 다양한 정보가 표시 된다. -windows OS-

     파일을 추 클릭하여 "정보 가져오기"로 가면 파일의 수정된 날짜와 시간을 포함한 다양한 정보가 표시 된다 -mac OS-

 

**주의**

파일의 시간과 날짜를 있는 그대로 받아들여서는 안 된다. 이러한 설정들은 손쉽게 접근 및 수정할 수 있고 하나 이상의 표준 시간대를 사용하면 정확한 시간을 판단하는 것이 더 복잡해 질 수 있다.

 

메타데이터 제거

예전에는 메타데이터가 최고의 "영업 비밀"이었지만 이제 더 이상 비밀이 아니다. 사람들은 메타데이터에 저장되어 있는 정보를 염려하기 시작하였고 결과적으로 사람들은 다른 사람들과 파일을 공유하기 전에 메타데이터를 제거하는 방식으로 이 문제를 해결하려고 하고 있다.

 

[썸네일 캐시]

* 컴퓨터에 있는 사진을 좀 더 쉽게 볼 수 있도록 하기 위해 윈도우는 사진을 작게 만들어서 썸네일(thumbnail) 형태로 저장한다.

* 여기서 흥미로운 점은 우너본 사진이 삭제된 이후에도 이러한 파일들이 그대로 남아 있다는 것이다. 그래서 원본 사진을 복원하지 못하였다고 하더라도 썸네일을 차선의 증거로 사용할 수 있다. 

 

[최근 실행 목록]

* 윈도우에서는 최근 실행 목록을 이용해 최근 사용한 프로그램이나 파일의 바로 가기 역할을 하는 링크를 만들었다.

* 윈도우의 시작 버튼을 누르고 문서 부분을 보면 여러 문서가 보이는데 바로 이것이 최근 실행 목록이다.

 

[복원 지점과 쉐도우 복사]

* 현실에서 현재 기술로는 과거로 돌아가고 싶어도 돌아갈 수 없지만 컴퓨터(winsows)에는 과거로 돌아갈 수 있는 기능이 있다.

* 컴퓨터에 문제가 생기면 컴퓨터가 잘 작동되던 시점으로 돌아가면 편리할 때가 있다. 윈도우에서는 이러한 시점을 복원 지점이라고 부르며 컴퓨터의 시간여행과 같은 역할을 한다.

 

* 복원 지점을 조사하다 보면 그 어떤 곳에도 존재하지 않는 대박 증거를 발견할 수 있다. 일반인들은 조사관들로부터 정보를 숨기려고 할 때, 복원 지점부터 삭제를 시작하지 않는다. 따라서 이점은 포렌식 관점에서 유리하게 작용한다.

 

*쉐도우 복사는 복원 지점의 소스 데이터다. 복원 지점과 마찬가지로 쉐도우 파일은 살펴볼 가치가 있는 또 다른 흔적이다. 쉐도우 파일을 사용하여 특정 파일이 시간이 경과하면서 어떻게 변화하였는지 증명할 수 있다. 그리고 또한 이미 삭제된 파일의 복사본이 저장되어 있을 수도 있다.

 

[프리패치]

프리패치(prefetch)는 시스템의 속도를 증가시키기 위한 시도 중에 하나다.

 

[링크 파일]

링크 파일은 지름길과 같은 기능을 말하는데 다른 파일을 가리키고 있다.

 

[설치된 프로그램]

특정 소프트웨어가 특정 시점에 제거되었다면 더욱 관심을 가져야 하며 이러한 흔적은 여러 곳에서 발견할 수 있다.