[EnCase] Windows Operating System Artifacts (2)

지난 번에 이어 Windows 운영체제 사용 후 포렌식적으로 의미가 있는 증거(Forensically Sound Evidence)를 살펴보자.

Special Files

Link Files (Shortcuts, 바로가기)
바로가기 파일이란 특정 대상을 참조하는 파일이다. 대상은 응용프로그램(Application), 디렉토리, 파일, 문서 뿐 아니라 프린터나 관리 콘솔(Management Console) 등 무엇이든 될 수 있다. 바로가기 파일을 클릭하면 등록된 응용프로그램으로 문서를 열수도 있고 실행할 수도 있다. Forensic에서 바로가기 파일의 중요성은 속성, 내용, 그리고 생성시점에 대한 특성 등에 있다.

바로가기파일은 다양한 목적에 의해 생성된다. 새로 응용프로그램을 설치했을 경우나 Windows에서 Desktop 바로가기나 휴지통 아이콘, 시작메뉴(Start Menu), 빠른실행(Quick Launch) 등에서 사용되며 사용자가 무의식 중에 오픈한 문서나 응용프로그램 등도 최근실행목록(Recent Folder) 등에 등록된다. 또한 사용자가 직접 빈번한 접근을 위해 프로그램, 파일, 폴더, 네트워크 리소스, 프린터 등에도 바로가기를 생성하게 쉽게 사용할 수 있다.

바로가기파일은 대상에 대한 다양한 속성을 가지고 있다. MAC(수정,접근,생성)시간이 Created, Last Accessed, Last Written 순으로 28,36,44 FO(File Offset)에 존재한다. (아래 그림에서 볼록지정된 곳을 보면 된다.) 이 속성은 사용자가 신경쓰지 않아도 자동으로 업데이트된다. 또한 볼륨 시리얼(unique volume serial numner), 파일의 크기(Size), 대상 위치 (Location) 등도 저장된다. 그리고 Link File은 파일 헤더에 x4Cx00x00x00x01x14x02 값이 File Signature로 사용된다.

Temporary Internet Files (임시 인터넷 파일)
이전 버전의 Windows에서 임시 인터넷 파일(TIF)는 Local Settings 폴더에 저장되었으나 Vista에서는 C:Users%UserName%AppDataLocalMicrosoftWindowsTemporary Internet Files에 저장된다. 인터넷에서 다운로드받은 파일들이 cache 형태로 저장되어 있어 이후에 접속할 때는 다시 다운로드받는 것이 아니라 cache에서 참조하여 빠른 속도로 Browsing을 가능하게 한다. Cookie 폴더나 History 폴더와 마찬가지로 Content.IE5 폴더에도 index.dat 파일이 존재한다. 저장되는 파일명을 자세히 살펴보면 원본파일명에 [1][2]…이 붙어 저장되는 것을 볼 수 있는데 index.dat가 파일명을 추적하기 위해서이다. 폴더명은 random한 숫자/영문자 8개로 구성되며 보통 15개에서 20개 정도 생성되는 것이 전형적이다.

Swap File (스왑 파일)
Windows에서는 RAM이 제한적인 자원이므로 RAM 용량이 부족할 때를 대비하여 HDD를 RAM 용도로 사용하는데 이를 paging이라고 한다. Windows에서는 page file (또는swap file)을 pagefile.sys에 저장하고 있다. 또한 Registry에서 종료시 이 파일을 삭제하는 옵션을 제공하는데, 다음 위치의 키를 참조한다. [HKLMSYSTEMCurrentControlSetControlSession ManagerMemory Management 내 ClearPageFileAtShutdown값이 1로 지정] 시스템을 조사할 시 Hard Disk에서 한번도 저장되지 않고 RAM에만 남아있는 파일을 찾거나 암호화된 파일 중 일부 비암호화된 문자 조각(text fragment)이 존재할 수도 있으므로 swap 파일을 늘 조사할 필요가 있다. 특히 RAM상에서는 Unicode로 존재하는 경우가 일반적이기 때문에 page file에서 검색시 Unicode Option을 활성화하는 것이 좋다.

Hibernation File (하이버네이션 파일)
Windows에서는 hibernate를 옵션으로 제공하는데 시스템을 잠시 종료한 후 RAM의 내용을 file로 썼다가 다시 돌아오면 원래의 상태로 복구하는 기능이다. 이는 hiberfil.sys로 저장되며 시스템 드라이브의 루트에 존재한다. 시스템이 2GB RAM을 사용하고 있다면 보통 swap file의 경우 3GB로 설정되나 hibernation file의 경우 정확히 2GB로 RAM size와 일치한다. 만일 컴퓨터가 한번도 hibernation mode로 진입한 적이 없는 경우에는 이 파일은 모두 00h로 쓰여있을 것이다.

Special Directories

Installation System Folders (시스템이 설치되는 기본폴더)
Windows 시스템이 기본적으로 설치되는 폴더는 아래와 같으며 업그레이드를 했을 경우에는 해당하지 않는다.

Recent Folder (최근 폴더)
최근 폴더 내의 파일은 모두 바로가기 파일로 구성되어 있다. 이는 시작->내 최근 문서보기에서 15개까지 볼 수 있으며 폴더 내에서는 수백개를 저장하고 있다. 내 최근문서로 표기되며 XP에서는 C:Documents and Settings%UserName%Recent 내에 위치하고, Vista의 경우 C:Users%UserName%AppDataRoamingMicrosoftWindowsRecent 내에 위치한다. 만일 같은 문서가 같은 위치에서 다시 오픈되었을 경우 바로가기 파일이 업데이트된다.

바로가기파일은 RAM에 있거나 pagefile.sys로 swap out되어 있을 가능성이 크다. Swap 파일 내 존재할 경우 unallocated 공간에 저장되는데 하드디스크가 포맷되어 포인터를 잃게 될지라도 데이터가 덮어쓰여지지 않았다면 그대로 있다.

Desktop Folder (바탕화면 폴더)
바탕화면 폴더 또한 루트 사용사 폴더 아래에 위치하며 전형적으로 바로가기로 되어 있다. Windows XP이하 버전에서는 All Users라고 되어 있는 폴더 내 Desktop 폴더 파일은 모든 사용자에게 보여줬으나 Vista의 경우 Public으로 바뀌었다. 도메인을 사용하는 환경이라면 그룹정책(Group Policy)에 의해 개별 사용자나 특정 사용자 그룹에 특화된 바탕화면을 구성할 수 있다.

My Documents/Documents (내 문서)
기존 Windows 버전에서는 내 문서로 표기되었으나 Vista에서는 그냥 문서라고 명명되었다. 내 문서 하위 디렉토리로 있던 내 그림(My Picture)은 그림(Picture)으로 내 음악(My Music)은 음악(Music)으로 역시 변경되었다. 이 폴더는 개별 사용자들의 문서, 그림, 음악 등을 기본적으로 저장하는 공간으로 생성되었다.

Send To Folder (바로가기 폴더)
바로가기 폴더는 탐색기 인터페이스에서 오른쪽 마우스 버튼을 클릭 후 Sent To를 설정했을 때 나타나는 object나 link이다. 다양한 프로그램이 설치될 때 기본적으로 나타난다. 사용자가 수동적으로 추가하는 경우도 있지만 드물다.

Temp Folder (임시 폴더)
이전 버전의 Windows에서 임시 폴더는 Local Setting Folder 내에 있고 Vista의 경우 Users%UserName%AppDataLocalTemp로 변경되었다. 프로그램 실행시 열어둔 문서의 복사본을 저장하거나 확장자를 변경하여 넣어두기도 하므로 이 곳은 File Signature 분석에 좋은 장소라고 할 수 있다. 어떤 프로그램은 실행 후 삭제하기도 하지만 그냥 남겨둘 때도 있다. 사용자가 특정 application을 설치하지 않았다고 발뺌할 경우 이 곳에서 증거를 수집할 수도 있다.

Favorites Folder (즐겨찾기 폴더)
즐겨찾기 폴더는 MS Internet Explorer Browser가 사용하는 바로가기 파일을 모아둔 곳이다. 확장자는 *.url(Uniform Resource Locator)로 등록되며 특정한 헤더를 가지는데 [InternetShortcut]으로 시작한다. Windows 설치시 기본으로 로드되는 즐겨찾기 사이트는 다소 다른데 이를 알아두면 사용자가 즐겨찾기를 추가/이동/삭제했는지 판단하는데 도움이 된다. 악성코드는 사용자 모르게 이 곳에 등록하는 경우도 있는데 그럴 경우 생성시간이 1~2 초 내에 여러 개의 즐겨찾기가 등록된 것이라면 사용자가 수동으로 등록한 것이 아니라고 보면 된다.

Cookies Folder (쿠키 폴더)
이전 버전의 Windows에서 Cookie는 루트 사용자 폴더에 저장되었으나 Vista에서는 Users%UserName%AppDataRoamingMicrosoftWindowsCookies에서 찾아볼 수 있다. 쿠키는 웹사이트에서 사용자의 Local Computer에 생성한 코드 조각인데 원래 사용자가 웹브라우징을 향상시키기 위한 목적으로 만들어졌으나 실제 그 내용이나 목적은 알 수 없다. 보통 username@domainname.txt 형태로 되어 있고 전체 쿠키 모음이 index.dat파일에서 관리된다. 이 파일은 날짜와 내부 날짜(internal date)를 담고 있는데 내부 날자란 웹사이트가 최종 수정된 때와 폐기날짜를 지정하고 있다.

History Folder (히스토리 폴더)
이전 버전의 Windows에서 History 폴더는 Local Settings 내에 있었으나 Vista에서는 Users%UserName%AppDataLocalMicrosoftWindowsHistory에서 찾아볼 수 있다. 이 폴더 내에서 History.IE5와 LowHistory.IE5를 찾아볼 수 있고 모든 히스토리를 관장하는 index.dat DB 파일이 있다. 기본 저장기간은 20일이며 폴더명은 MSHist01DateRange 로 되어 있다. (날짜범위 DateRange 형식은 YEARMODAYEARMODA임)
Internet History를 조사할 때 알아두어야 할 것이 있다. URL이 file:/// 로 시작되는 것들이 있는데 이는 실제 IE에서 열어본 것이라고 생각하기 쉬우나 실은 그렇지 않다. 로컬 파일을 특정 application으로 열었다고 할지라도 이 곳에 등록된다. MS Office 문서를 비롯한 다른 종류의 파일들도 마찬가지다.