tmxklab
3. 비활성 데이터 수집/분석 본문
비활성 데이터
- 시스템이 꺼져 있어도 수집할 수 있는 데이터로 하드에 저장된 형태
- 활성 데이터는 라이브 포렌식에서만 획득 가능, 비활성 데이터는 라이브 포렌식/디스크 포렌식에서 획득 가능
1) 비활성 데이터 수집 고려사항
- 레지스트리 파일은 포렌식 분석할 때 무조건 수집해야 하는 파일이다. 하지만 라이브 상태에서 레지스트리는 운영체제가 점유하고 있는 파일이라 복사를 하지 못하게 된다. 따라서 운영체제보다 낮은 레벨은 파일 시스템(파일 시스템이 있어야 운영체제가 올라갈 수 있음)이므로 클라이언트가 물리레벨 첫 번째에 직접 접근할 수 있다. 이제 레지스트리의 위치만 알면 직접 찾아가서 복사하면 가능하다.(FTK Imager에서도 파일시스템 접근 가능)
+) FTK Imager는 이미징하는 목적의 툴, 값이 싸서 많이 사용
+) WinHex는 디스크 분석 툴 -> 디스크 분석에 있어서 최적화된 도구
2) 비활성 데이터 수집목록
- $MFT (파일시스템 메타데이터)
- $LogFile, $UsnJrnl:$J (파일 시스템 로그)
- 웹 아티팩트 (웹 브라우저 캐시)
- 프리패치
- 바로가기 파일 (LNK)
- 레지스트리 하이브 파일
- 이벤트 로그
3) WinHex툴을 사용해서 파일 추출 시
① 경로를 알 때 - 레지스트리
- 보통 아래에 있는 파일 6개를 추출함(운영체제 하이브 4개 + 사용자 하이브 2개)
- 라이브 상태에서 레지스트리 정보 추출
[ 확장자가 없는 파일 4개, 운영체제에서 사용하는 하이브 파일 추출 ]
- \Windows\System32\config
-> SAM, SECURITY, SOFTWARE, SYSTEM
[ 사용자들의 행위에 대한 기록 파일 2개 추출, 사용자 하이브 파일 추출 ]
- \Users\(사용자 이름)\NTUSER.DAT
- \Users\(사용자 이름)\AppData\Local\Microsoft\Windows\UsrClass.dat
② 파일 명을 알 때 - 웹 브라우저
- WebCacheV01.dat (이름은 아는데 경로가 더러움)
-> C드라이브 최상위로 올라가서 Explorer recursively를 누르고 Name정렬한 다음 걍 webcah~~저거 치면 바로 나옴
-> 상단에 "\ and subdirectories" 누르면 창 하나 뜨는데 그거 오른쪽에 pull path 255나 500이렇게 크게 잡아주고 ok누르면 path나옴
-> 확인해보면
③ 확장자를 알 때 - 링크 파일
-> Ext눌러서 확장자별로 정렬하고 "LNK"치면 나옴
-> 그리고 또 소문자가 있으므로 lnk한 번 더 치면됨
+) 추가로 C밑에 $Extend에는 $로 시작하는 파일들이 존재하는 모두 0byte인 것을 확인할 수 있음
+) 근데, 아이콘을 자세히 보면 "..."으로 되어있는 것을 볼 수 있는데 요런거는 내부로 한 번더 들어갈 수 있음을 의미
+) ads -> 아이콘에 ...으로 되어있는 파일 있음
+) \Extend\Usnjrnl 들어가면 ads 속성이 적용된 파일을 복구할 때 $J를 보면 용량이 ㅈ.. 매우 큼 -> 근데 막상 핵사 값 보면 마지막 몇 메가 짜리 빼고 나머지는 다 0으로 채워져 있으므로 마지막 부분만 복구하면 됨
이런 파일을 복구하거나 수집할 때에는 WinHex와 같은 디스크 분석 도구를 통해 안으로 직접 들어가서 복구를 해야함 이런 것을 "파일 시스템 아티팩트"라고 함
+) ADS란 Alternate Data Stream의 약자로 NTFS 구조에서는 다중의 데이터 스트림을 지원하는데, 이러한 데이터 스트림이 여러 개라는 것은 파일이 하나 이상의 데이터를 담을 수 있다는 것이다. 이를 이용하여 원하는 데이터를 다른 파일 안에 숨길 수가 있음
'Security > 04 forensic' 카테고리의 다른 글
4.2 메모리 분석(feat. Volatility) (0) | 2021.04.28 |
---|---|
4.1 메모리 수집 (DumpIt) (0) | 2021.04.28 |
4. 메모리 수집/분석 (0) | 2021.04.22 |
2. 활성 데이터 수집/분석 (0) | 2021.04.22 |
1. 디지털 포렌식 개요 (0) | 2021.04.22 |