Window Artifact

 디지털 포렌식을 공부하다 보면 아티팩트(Artifact)라는 단어를 많이 접한다.

아티팩트(Artifact)와 윈도우 아티팩트(window Artifact)가 의미하는 것이 무엇일까?

 

 사전에서 아티팩트(Artifact)란 유물을 의미한다.

디지털 포렌식에서 아티팩트(Artifact)는 운영체제 및 어플리캐이션을 동작시켰을때 남게 되는 흔적을 말한다.

 

 포렌식 - 아티팩트(Artifact)

시스템에서 생성되는 증거는 2가지 종류가 있다.

 

1.생성 증거 : 프로세스, 시스템에서 자동으로 생성되는 데이터

2.보관 증거 : 사람이 기록하기 위해 직접 작성한 데이터

이중 아티팩트(Artifact)는 전자에 해당된다.

 

윈도우 아티팩트(Window Artifact)

 윈도우의 여러 기능들과 그 기능을 구현하는데 필요한 요소들(파일 및 레지스트리 등)로 부터 찾을 수 있는

여러 정보를 말한다.

 

시간과 날짜

 (South Bridge 칩에 내장됨, 주파수를 통해 정기적으로 날짜와 시간 계산, 컴퓨터가 꺼진후에도 시간 기록 가능)

시스템 시간

 (RTC가 아닌 소프트웨어적 방법으로 시간 유지)

표준 시간대

 (UTC) 

 

 윈도우 시스템의 생성 증거(아티팩트)는 웹 아티팩트, 프리/슈퍼패치, 이벤트 로그, 휴지통 등이 있다.

하나씩 살펴보도록 하자.

 

List

• 파일 시스템 아티팩트
• 웹 아티팩트
• 이벤트 로그
• 프리/슈퍼 패치
• 바로가기 (short cut)
• 점프리스트
• 시스템 복원 지점
• 시스템 로그
• 휴지통
• 시스템 임시 폴더
• 미리보기 썸네일
• 윈도우 검색 데이터베이스
• 기타 아티팩트(스티커메모, 프린터 스폴링 파일)

파일 시스템 아티 팩트

 파일 시스템은 파일이나 자료에 접근하여 활용할 수 있도록 내용을 조직하는 체계를 의미한다. 운영체제에 따라 사용하는 파일 시스템의 종류가 다르다. 파일 시스템은 저장장치와 운영체제의 구성과 관련되기에 굉장히 많은 종류가 존재한다. 윈도우 계열에서 주로 사용된는 파티션에 의해 NTFS는 아티팩트를 분석할 때 함께 분석하는 경우가 많다.

 NTFS에서는 파일 형태의 메타데이터 관리 방법을 사용하는데 이는 아티팩트를 수집 할때 편리하게 메타 데이터 까지 수집 할 수 있다.(일반적으로는 파일 시스템은 메타데이터 영역과 실제 파일 데티어 영역을 분리하여 관리한다.) 

 파일 시스템의 메타 데이터는 계층 구조, 파일의 시간 정보, 속성 정보 들을 한꺼번에 관리하고 있기에 분석에 편리함을 제공해준다.

 

웹 아티팩트

 웹 브라우저를 이용하면 방문하는 웹 페이지의 구현 상태에 따라 다양한 흔적이 남게 된다. 주로 Web History, Cache, Cookie, Download File List 통해 웹 사용 내역을 조사한다.

 

이벤트 로그

 윈도우의 운용과정에서 발생하는 특정 동작(이벤트)를 체계적으로 기록한 바이너리 로깅 시스템이다. 이벤트 로그에서는 시스템의 전반적인 동작을 종합적이고 체계적으로 기록한다.

 

프리/슈퍼 패치

 윈도우는 프리패치 파일에 실행 파일이 사용하는 시스템 자원을 미리 저장하였다가 윈도우 부팅 시 .pf파일을  모두 메모리에 적재 한후 메모리 메핑만을 수행하여 사용할 수 있도록 하였다.( 보조장치와 주기억 장치의 I/O속도 차이에 따른 문제를 극복하고자 사용함)

 프리 패치 파일을 분석해서 얻을수 있는 정보로는 실행파일이름, 실행파일의 실행횟수, 실행파일의 최근 실행 시간, 프리패치 패일의 생성 시간, 실행된 볼륨의 정보, 실행파일 실행시 참조하는 파일의 목록 이다.

 

 프리패치의 사용은 메모리의 페이징 아웃 기법에 의해 동작하지 않을 때가 있다 이를 해결하기 위해 있는 것이 슈퍼패치이다.

슈퍼패치는 사용자의 프로그램 사용 패턴을 기록하여 자주 사용할 수록 지속적으로 메모리 로드하는 목적으로 존재한다.

 

바로가기 (short cut)

 바로가기(short cut)는 다른 파일의 정보(경로, 시간, 정보 등)을 포함하는 또 다른 작은 파일로, 주로 대상 파일을 사용자가

접근하기 편한 경로에 생성되는 파일이다.  바로가기 파일을 OS 설치 시점, 응용프로그램 설치 시점, 문서 파일 열람 시점에 자동으로 생길수 있다.

 

점프리스트

 점프리스트는 바로가기의 상향 버전이라고 할 수 있다. 바로가기는 특정 개체에 대한 정보와 실행 경로를 제공해주는데에 반해 점프리스트는 Recent(최근 항목), Frequent(자주 사용하는 항목), Tasks(작업), Pinned(사용자 고정) 라는 정보를 추가적으로 저장한다.

 

시스템 복원 지점

시스템 복원지점은 운영체제 재설치 없이 시스템을 백업한 과거의 특정 시점으로 복원하는 기능으로 운영체제 설치 시 기본으로 활성화 되어 있다.

 

시스템 로그

윈도우는 이벤트 로그를 가지고 있지만 서브시스템 별로 로그를 따로 관리하기도 한다. txt 형태로 되어 있어 열람이 쉬운 편이며  무모한 양의 로그를 기록하지 않으므로 상대적으로 분석하기 용이한다.

 

휴지통

 휴지통은 많은 사람들이 사용해봤을 것이다.(실제로 필자도 휴지통 복구로 포렌식을 처음 접하였다.)  파일 시스템 적 관점으로 보았을 때 휴지통은 디렉터리에 불과하다. 다만 이 디렉터리에 대한 접근이 휴지통을 통해서만 가능할 뿐이다. 휴지통으로 파일을 삭제하는 것은 관련된 메타 정보만을 변경하는 것이지 실제 파일은 그대로 남겨둔다.

 

시스템 임시 폴더

 임시로 사용된는 파일이나 폴더가 저장되는 경로로, 인터넷에 다운로드 받은 파일을 저장 않고 실행 할때 사용되는 곳이다.

(Temp 파일) 그러다 보니 여러 유형의 파일들이 규칙없이 산재되어 있고 이를 악용한 악성코드들이 은닉되어 있을 수도 있다.

 

미리보기 썸네일

 미리보기 파일은 썸네일이라고도 불린다. 이는 윈도우 미디어 파일에 대한 미리보기 데이터베이스 파일을 의미한다.

미리보기를 수행 할 시 운영체제에 의해 자동으로 생성되며 원본파일이 삭제되더라도 데이터베이스 내부의 미리보기 파일은 삭제되지 않고 잔존한다.

 

윈도우 검색 데이터 베이스

 윈도우 검색은 색인을 사용하여 빠르게 검색할 수 있도록 해준다. Windows.edb 파일에는 색인 정보가 저장된다. 윈도우 버전마다 Windows.edb의 경로가 달라진다.

 

기타 아티팩트(스티커메모, 프린터 스폴링 파일)

 분석에 도움을 주는 모든 정보에 관련한 데이터는 시스템 아티팩트로 취급될수 있다.

 

 

보다 자세히 알고 싶은 사람은 필자가 공부하였던 아래 사이트가 도움이 될 것이다.

참조 http://portable-forensics.blogspot.com/

Portable Forensics