DandyLife | Forensic is a Time Puzzle.
사용자 층이 두터운 윈도우 운영체제는 포렌식적으로 의미있는 정보를 많이 내포하고 있다.
EnCase에서 다루고 있고 실제 수사시 도움이 될만한 수많은 사용흔적을 추출하여 보도록 하자.
Dates and Times (날짜와 시간)
Time Zones (시간대)
현재 사용되는 다양한 운영체제는 나름대로 독특한 형태로 시간 형태(format)를 정의하여 저장한다. 때로는 현지 시간(Local Time) 또는 그리니치 시간(GMT: Greenwich Mean Time 또는 UT: Universal Time 또는 ZT: Zulu Time)으로 사용한다. 이처럼 다양한 운영체제가 서로 다른 시간대를 구현하고 있기 때문에 실제 포렌식 수사시 이를 고려하는 것은 매우 중요하다.
이 중 Windows에서 사용하는 Timestamp은 다음과 같은 특성을 가진다.
- 파일 속성 (File Attributes)에 있는 수정/접근/생성시간 (MAC: Modified, Accessed, Created)
- FAT의 경우 : 32Byte 크기의 현지시간
- NTFS의 경우 : 64Byte 크기의 GMT 시간
- 100 * 10^(-9) 나노초(nano second) 간격으로 저장하고 1601년 1월 1일 00:00:00 GMT를 기준(epoch)으로 함
- MSB(Most Significant Bit)이 01h이며 8Byte 문자열의 가장 우측에 저장됨 (Little Endian의 경우)
더보기
Adjusting for Time Zone Offsets (시간대 차이 조정하기)
정확한 시간을 결정하기 위해 시간대에 대한 이해는 매우 중요하다. Windows 운영체제에서는 레지스트리에 시간대 차이를 저장하는데 위치는 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00[n]\Control\TimeZoneInformation이다.
| Value Name | Data Type | 설 명 |
| ActiveTimeBias | 32bit 정수 | 현재 시스템 시간 - GMT로부터 분 offset |
| Bias | 32bit 정수 | 시간대 설정에 기반 - GMT로부터 분 offset |
| DaylightBias | 32bit 정수 | 시간대 설정에 기반 (일광절약제 적용) - GMT로부터 분 offset |
| DaylightName | Unicode Text String | 시간대 설정 이름 (일광절약제 적용) |
| DaylightStart | Binary (2Byte 구성, 이후 8Byte 무시) | 일|월|주|시간 - 일: 2Byte, 일요일(0) 기준, 0-6 - 월: 2Byte, 1월(1) 기준, 1-12 - 주: 2Byte, 1주차(1) 기준, 1-52 - 시간: 24시간 기준, 1-24 |
| StandardBias | 32bit 정수 | 시간대 설정에 기반 (표준시간 적용) - GMT로부터 분 offset |
| SandardName | Unicode Text String | 시간대 설정 이름 (표준시간 적용) |
| StandardStart | Binary (4Byte 구성, 이후 8Byte 무시) | 일|월|주|시간 (DaylightStart 참조) 예) 00 00 |0A 00 |05 00 |02 00 일요일 | 10월 | 5주차 | 2시 |
Recycle Bin (휴지통)
Recycle Bin Operation (휴지통 동작방식)
Windows 운영체제에서 파일을 삭제할 경우 Shift+Del을 누르지 않는 한 기본적으로 휴지통으로 가도록 되어 있다. 파일을 삭제할 경우 기본적으로 Directory Entry 또는 MFT Entry가 삭제되고 휴지통에서 삭제된 파일의 Directory Entry 또는 MFT Entry가 생성된다. 휴지통 내에서 새로 생성된 파일명은 실제 파일 이름이 아니며 다음과 같은 규칙(rule)을 따른다.
D[기존 파일이 있었던 디스크드라이브명][index number].[원래확장자]
예를 들어 휴지통 내 DC1.doc라는 파일이 있을 경우 C드라이브에서 첫번째로 삭제(deleted)되었다는 의미이다. 기존Windows의 경우 index번호가 0에서 시작하였으나 XP에서는 1부터 시작한다. 또한 Folder의 경우 하위파일 또는 폴더에 대한 정보는 그대로 가지고 있다.
INFO2 File & User Identification (INFO2파일과 삭제한 사용자 확인)
파일이 휴지통으로 보내지면 이름이 변경되고, Entry가 INFO2라는 Database에 저장된다. 사용자가 처음으로 파일을 삭제했을 때 사용자의 SID(Security ID)가 기록되는데 이는 GUID(Globally Unique Identification Number)이다. (위 그림에서 S-1-5-21-2052111302-823518204-1801674531-1003가 SID이다) 포렌식 관점에서는 이 정보를 통해 SAM(Security Account Manager) Registry파일과 연계하여 누가 삭제했는지를 알 수 있게 되는 것이다. 만일 사용자가 Windows Domain을 이용하여 로그온을 할 경우 SID 정보는 Local 장비에 저장되지 않고 Domain Controller 에만 남게 되어 사용자명을 알아낼 수 없을 수도 있다. 하지만 이럴 경우에도 사용자가 로그온한 정보가 cache에 10개가 기본(default)으로 저장되는데 EnCase에서는 이를 이용하여 분석할 수 있는 EDS module을 제공하고 있다.
Files Restored or Deleted from the Recyle Bin (복구된 파일과 삭제된 파일)
파일을 휴지통에서 복구하였을 경우 File Entry나 MFT에 정보가 생성되고 원래 삭제된 장소로 복구되고 휴지통에서는 삭제된 것으로 표기된다. 이는 매우 직관적(straightforward)이나 다음 과정을 보자. INFO2에 있는 Entry는 삭제가 되지 않고 해당 record의 첫번째 문자(character)을 00h로 바꾸어 버린다. (Windows Explorer에서 E5h로 시작되는 Entry는 무시하듯이 휴지통 인터페이스 역시 00h로 시작되는 Record는 무시한다.) 사용자가 전체 휴지통 비우기(emptying the entire Recycle Bin)를 통해 삭제하거나 개별 파일이나 디렉토리를 선정하여 삭제하는 경우에도 마찬가지이다. 이렇게 삭제/복구된 index number는 이후 파일이 삭제되었을 때 재사용할 수 있다. EnCase에서는 현재 삭제된 record와 null(00h)로 표기된 record를 구분하지 않으므로 주의해야 한다.
Windows Vista Recycle Bin (비스타 휴지통)
새롭게 출시된 Vista 운영체제의 경우 휴지통을 $Recycle.Bin으로 명명하고 동작방식도 상당히 바뀌었다. INFO2 파일은 사라지고 대신 $I로 시작하는 개별 index file을 생성하고 일부 GUID로 명명한다. 또한 삭제된 파일은 $R로 시작하고 $I와 $R 외에는 완전히 일치하는 파일명을 가지고 있다. 예를 들어 $IZO16QK.bin이라는 Index File의 실제 삭제파일명은 $RZO16QK.bin이다. Index File은 전체경로(full path: Byte Offset 24), 타임스탬프(timestamp: Byte Offset 16-23), 크기(Size: Byte Offset 8-11) 등을 가지고 있다. 이 경우 삭제된 폴더가 자식 폴더나 파일을 가지고 있다면 부모폴더의 index file만 생성된다.
'EnCase' 카테고리의 다른 글
| EnCE Phase 1 시험 후기 (8) | 2010/02/22 |
|---|---|
| [EnCase] Windows Operating System Artifacts (2) (9) | 2009/12/12 |
| [EnCase] Windows Operating System Artifacts (1) (0) | 2009/11/22 |
| [EnCase] Advanced Search Techniques (0) | 2009/10/17 |
| [EnCase] First Response (0) | 2009/07/19 |
| [EnCase] Computer Hardware (3) (0) | 2009/07/13 |
댓글을 달아 주세요