[디지털 포렌식] 윈도우 포렌식

윈도우 포렌식

• 전 세계 70%의 운영체제로써, 사용자가 시스템을 사용하면서 남는 아티팩트를 분석하여, 파일 유출, 불법 다운, 문서 조작, 저장매체 연결흔적과 같은 흔적들을 분석하는 과정

범위

• 레지스트리, $MFT, 휴지통, 프리패치, 웹 로그, 쉘백, 점프리스트, 링크파일, 메모리파일(pagefile.sys), 스케쥴러, ADS,  이벤트로그, 썸네일/아이콘 캐시, 서비스 등

레지스트리

레지스트리 분석의 필요성

• 시스템 정보와 사용자의 다양한 정보 확인이 가능
• 최근 열람한 문서파일 목록, 실행파일 목록, 시스템 정보 등

윈도우 레지스트리 조작 흔적 조사

레지스트리 임의 조작 여부 등을 판단 하는 방법 : 레지스트리 편집기에서 최근 접근키와 즐겨찾기  항목 확인 및 bat과 같은 스크립트 사용시 파일 열람 확인

레지스트리 구성

• HKEY CLASS ROOT : 파일연관성과 COM정보
• HKEY LOCAL MACHINE : 시스템의 하드웨어/소프트웨어 정보
• HKEY CURRENT USER : 현재 시스템 로그인 된 사용자 정보
• HKEY USERS : 모든 사용자 정보
• HKEY CURRENT CONFIG : 시스템 시작 시 사용되는 하드웨어정보

레지스트리 분석시 중요한 정보는 HKEY CURRENT USER 와 HKEY LOCAL MACHINE정보

이중 HKEY LOCAL MACHINE는 다시 하위 하이브 파일로 구성

실제 분석 시 필요한 레지스트리의 하이브 파일은 파일로 저장되어짐

하이브 파일이 저장되는 경로 : C:/Windows/system32/config/

SAM, SECURITY, SYSTEM, SOFTWARE

/profile/username/ntuser.dat

• SAM : 로컬 계정 정보와 그룹 정보
• SECURITY : 시스템 보안 정책과 권한 할당 정보
• SOFTWARE : 시스템 부팅에 필요 없는 시스템 전역 구성 정보
• SYSTEM : 시스템 부팅에 필요한 전역 구성 정보
• Ntuser.dat : 사용자 프로파일 정보

레지스트리 수집

• HKLM/SYSTEM/CurrentControlSet/Control/Hivelist에서 연결된 하이브 목록 확인가능
• 일반적으로 레지스트리 파일은 커널에서 열려 있으므로 직접 분석 하거나 이미지에서 채증
• HKLM/SYSTEM/CurrentControlSet/Control/Hivelist에 연결된 파일위치를 확인 후 다른 시스템에 연결하여 레지스트리 수집

레지스트리 분석도구

• Process Monitor(http://technet.microsoft.com/enus/sysinternals/bb896645)
• RegShot(http://sourceforge.net/projects/regshot/)
• RegRipper(http://regripper.net/)
• REGA (http://forensic.korea.ac.kr)

웹 브라우저 포렌식

사용자가 웹 브라우저를 이용하여 남기는 아티팩트 분석

웹 브라우저

• 웹 서버와 쌍방향 통신을 통해 HTML문서나 파일을 동기화 하고 출력하는 응용S/W
• 웹 브라우저를 통해 사용자는 다양한 정보를 인터넷을 통해 제공 받음
• IE, FireFox, Chrome

필요성

• 디지털 시대 도래화에 따른 인터넷 의존성 ↑
• 범죄와 관련된 정보가 웹 브라우저 로그에 남을 가능성이 큼
• 사건에 따라 사용자(또는 범죄자)에 대한 많은 정보 획득가능
• 동기, 목적 등
• Web Browser 획득 정보
• Cache정보 : 방문사이트 접속 시 자동으로 받는 정보
• History 정보 : 사용자가 방문한 웹사이트 주소 정보
• Cookie 정보 : 웹사이트에서 사용자의 HDD에 저장 시켜놓는 사용자 데이터
• Download 정보 : 사용자가 웹 상에서 받은 파일에 대한 정보

웹 브라우저분석도구

• IECacheView(http://www.nirsoft.net/utils/ie_ cache_ viewer.html)
• IECookieView(http://www.nirsoft.net/utils/iecookies.html)
• IEHistoryView(http://www.nirsoft.net/utils/iehv.html)
• Indexdat Analzer(http://www.systenance.com/indexdat.php)
• BrowsingHistoryView(http://www.nirsoft.net/utils/browsing_ history_ view.html)
• Sqlitebrowser3.8.0win64v2(http://sqlitebrowser.org/)
• EseDbViewer(http://www.woanware.co.uk/forensics/esedbviewer.html)
• IE10 Analyzer(http://moaistory.blogspot.kr/2016/08/ie10analyzer.html)

$MFT

• 파일시스템 메타데이터는 특정 파일에 대한 메타데이터 정보를 저장
• 해당 파일을 분석 함으로써 파일의 생성,수정,삭제 시간 정보를 확인가능
• 시스템 파일로 다른 PC에 하드디스크를 연결하여 $MFT 추출
• $MFT저장경로 : %ROOT%아래 저장

분석도구

• analyzeMFT
• mft2csv
• MFTView
• NTFS Directory Enumerator (ntfsdir)
• Windows INDX Slack Parser (WISP)
• Graphical Engine for NTFS Analysis (gena)
• NTFS Log Tracker

Link File

• .lnk확장자를 가지는 파일
• 사용자가 파일에 엑세스 할 경우 남는 파일
• 링크 파일분석을 통해 유출 정황 등 파악 가능
• lnk생성 기본 경로(Win 7 이상)
  -C:/Users/YAMI/AppData/Roaming/Microsoft/Windows/Start Menu
  -C:/Users/YAMI/AppData/Roaming/Microsoft/Windows/Recent
• 링크 파일을 분석함으로써 실행된 볼륨의 ID, 생성, 접근, 쓰기, 원본경로, 원본 사이즈를 알 수 있음

Link File 분석도구

• Windows LNK Parsing Utility (lp) –https://tzworks.net/download_ links.php
• Lnkanalyser–http://www.woanware.co.uk/forensics/lnkanalyser.html
• Windows File Analyzer –http://www.mitec.cz/wfa.html
• 010Editor –LNK Template –http://www.sweetscape.com/010editor/
• LnkAnalyzer –http://www.tarasco.org/security/Lnk_ Analyzer/

Recycle Bin

• 윈도우에서 파일 삭제 할 경우, 기본적으로 휴지통으로 이동
• 파일 삭제 시 $R~ / $I~파일이 생성 됨
• $R~파일은 실제 삭제된 데이터
• $I~파일은 $R~에 대한 경로, 파일사이즈, 삭제 시간 정보를 저장

Thumbnail

• 윈도우 폴더 미리보기 기능에 사용
• 초기 방문시 썸네일을 저장해두고 재 방문 시 저장된 데이터를 보여줌 >속도 향상
• 한번 저장된 썸네일은 원본이 지워져도 썸네일 파일은 잔존
• Windows 7 이후 Thumbcache ##.db 로 관리
• 썸네일 지원 파일
• JPEG,BMP,GIF,TIF,DOCX,PPTX,PDF,HTM 등

IconCache

• 외부저장장치/광학드라이브 사용흔적 확인
• 안티 포렌식도구 사용흔적(아이콘)
• 악성코드흔적(아이콘 보유 시/애드웨어)
• 프로그램 사용흔적(프로그램을 삭제 하여도 Icon정보는 남음)

이벤트로그

• 운영체제에서 발생되는 변화를 기록
• 응용프로그램, 보안, Setup, 시스템 등 으로 구성
• 이벤트 로그 저장경로 : C:/Windows/System32/winevt/Logs
• 저장되는 로그의 대표적인 정보로는 사용자 추가/삭제, 로그인 성공/실패, 원격접속 성공/실패, 윈도우 부팅/종료, 애플리케이션 설치 등 기록

실습

1. REGA(레지스트리 분석 도구) 실행

파일 > 레지스트리 분석 > Windows Registry Analysis 폴더 > 분석 시작

우측에 도구 상자 > 사용자 활동 정보 > 사용자 계정 정보 > Natasha

2. 도구 상자 > 기본 도구 > 키워드 검색 > computername > 하단 출력 > WIN-S550ED416I9

3. 도구 상자 > 기본 도구 > 키워드 검색 > timezone > 하단 출력 > Eastern Standard Time

4. 도구 상자 > 사용자 활동 정보 > 검색 키워드 > carrots, cookies

5. 도구 상자 > 사용자 활동 정보 > IE - 열어본 페이지 or 기본 도구 > 키워드 검색 > TypedURL

6. 도구 상자 > 네트워크 정보 > TCP/IP > IP 주소

7. 도구 상자 > 네트워크 정보 > TCP/IP > 네임 서버

8. 도구 상자 > 윈도우 설치 정보 > 윈도우 설치 정보 > Install Date

9. HKEY_LOCAL_MACHINE > SOFTWARE > CLASSES > http > shell > open > command

10. HKEY_USERS > NTUSER > Software > Microsoft > Internet Explorer > Main

1. IE10Analyzer 실행

\Users\7ester\AppData\Local\Microsoft\Windows\WebCache\WebCacheV24.dat

File > Open > Open ~ extracted > 위 경로 > Carving records > Open > History > AccessCount 가장 높은거 더블 클릭 > Detail View > Url

2. Detail View > Accessed Time

1. AccessData FTK Imager > Add Evidence Item > Image File > down

2. Partition > root > Users > Administrator > AppData > Roaming > u Torrent > settings.dat 우클릭 Export Files

※ u Torrent는 다운로드가 완료되면 재배포를 위해 seed 파일 생성

3. bencode-editor.0710x 실행 > settings.dat 드래그 > dir_torrent_files > seed 파일 경로 확인

4. FTK에서 root > $LogFile과 $MFT Export Files

5. NTFS Log Tracker v1.4 실행 > $LogFile과 $MFT 입력 > Parsing > Export csv

6. 생성된 LogFile.csv 실행 > seed 파일 검색 > 생성 시간 등의 정보 확인

1. AccessData FTK Imager 실행 > Add Evidence Item > Image File > CaughtBeforeDrugDeal.E01

2. Partition > root > Users > Charlotte > AppData > Roaming > Skype 확인 -> 메일이 아닌 skype로 통신 유추

3. Partition > root > $ Recycle.Bin > $ l~ : $ R~에 대한 메타정보(하단에 파일 경로 정보 확인 가능), $ R~ : 파일 자체 > $ l~파일 Export Files > skypelogview로 확인 > 빈 파일 > 삭제 의심 > 파일이 삭제되면 일부 아티팩트 존재(iconcache와 thumbcache)

4. Partition > root > Users > Charlotte > AppData > Local > Microsoft > Windows > Explorer > thumbcache 중 파일 크기가 0이 아닌 것을 복구

5. Thumbcache Viewer 실행 > thumbcache를 드래그 해서 하나씩 확인 > tumbcache256에서 confidential 썸네일 확인

1. AccessData FTK Imager 실행 > Add Evidence Item > Image File > AreYouWorthy.E01

2. 메일이기 때문에 Outlook 확인

Partition > root > Users > john > AppData > Local > Microsoft > Outlook > john_smith.ost(메일 DB : 메일내용 등) > Export Files

3. freekernelostviewer.exe > john_smith.ost 드래그 > IPM_SUBTREE > Ongewenste e-mail > 샬롯이 보낸 메일 확인(PGP로 암호화 됨, 복호화를 위해 키가 필요)

4. Partition > root > Users > john > Document > private > edi~.asc(개인키) 복구

5. Partition > root > $ Recycle.Bin > $RG~.jpg(공개키) 복구

6. Partition > root > Users > john > AppData > Google > Chrome > User Data > Default > History 복구

7. sqlitebrowser 실행 > History 드래그 > Browse Data > urls table 선택 > 127(id) Steganographic Decoder 사이트 복붙 후 이동 > 공개키를 업로드 및 확인

비밀 문서 작성법

- 스테가노그라피(Steganography) : 메시지를 숨기는 방법

- 크립토그라피(Cryptography) : 메시지를 암호화 시키는 방법

8. mailvelope 플러그인 설치 > Key Management > Import Key : private key > 개인키 등록

9. Decrypt > 암호문 복붙 > 공개키 텍스트 복붙 > 내용 확인