디지털 포렌식 : : 비활성 데이터 개념 & 수집 실습

본 게시글은 http://forensic-proof.com 블로그를 참고하여 작성된 글 입니다.

1. 비활성 데이터란 ?

 비활성 데이터는 현재 데이터의 변동이 없는 데이터이다. 따라서 기기의 on & off 에 영향을 받지 않는다.

비활성 데이터 분석은 주로 기기의 저장매체를 이미징을 한 후 하는게 일반적이다.

하지만 최근에 대용량 저장매체가 보편화되면서 이미징의 시간 또한 증가하게 되었다.

따라서 이미징을 한 후 분석하는것은 효율성이 많이 떨어진다고 볼 수 있다. 그래서 라이브 포렌식 시 활성 데이터를 수집하는 동시에

비활성 데이터 수집도 같이 진행을 한다. 

2. 비활성 데이터 종류

- $MFT (파일시스템 메타데이터)

- $Logfile, $UsnJrnl:$J (파일시스템 로그)

- 웹 아티팩트 (웹 브라우저 캐시)

- 프리패치

- LNK (바로가기 파일)

- 레지스트리 하이브파일

- 이벤트 로그

- 휴지통 정보

- 기타

3. 비활성 데이터 수집

1) 수집 도구

 이번 실습에서는 "WinHex v19.7" 라는 툴을 이용하여 데이터를 수집하였다.

 다운로드 링크 : https://www.x-ways.net/winhex/

2) 수집 환경

 Windows 7 64bit 가상 환경에서 실습하였다.

3) 수집 과정

 ○ 마운트 이미지 선택(디스크 선택) 

[수집과정 - 1]

WinHex를 실행시킨다음 상단 메뉴에서 "Tools -> Open Disk" 를 클릭하면 <수집과정 - 1>과 같은 창을 확인할 수 있다.

우리는 지금 논리적 디스크가 아닌 물리적 디스크 영역에서 데이터를 수집하기 때문에 하단에 빨간박스 부분을 클릭한다. 

[수집과정 - 2]

디스크를 선택하면 위 그림과 같은 화면이 출력된다. 실습환경 기준으로 Partition 1,2 중 2를 클릭한다.

○ $MFT 수집

 경로 : %systemDrive%$MFT

[수집과정 - 3]

$MFT를 수집하기 위해 위치한 경로로 이동한다. 이 파일은 MFT(Master File Table) 엔트리 0번 파일이다.

MFT는 파일의 위치, 속성, 시간정보, 이름, 크기 등의 메타 데이터를 저장하고 있다.

$MFT는 이 MFT 영역 자체의 정보를 담고 있다. 즉 MFT 파일의 메타 정보를 유지하고 있는 엔트리이다. 

[수집과정 - 4 ]

$MFT 를 수집하기 위해서 해당 파일을 우클릭 후 Recover/Copy를 클릭하면 다음과 같은 창이 출력된다. 

빨간박스로 체크된 영역은 Output 되는 경로를 설정할 수 있고 설정이 완료되면 OK 버튼을 클릭하면 파일이 수집된다.

○  $LogFile, $UsnJrnl:$J 수집 

 경로 : %systemDrive%$LogFIle

 경로 : %systemDrive%\Extend\UsnJrnl\$J

[수집과정 - 5]

위 그림과 같이 "%systemDrive%$LogFIle" 경로로 이동하면 $Logfile 파일을 찾을 수 있다.

$Logfile 파일은 MFT 엔트리 2번째 파일이다. 

이 파일은 새로운 파일의 생성, 내용 변경, 파일 이름 변경 등의 MFT Entry에 영향을 주는 모든 정보를 기록해 둔다.

 

[수집과정 - 6]

위 그림과 같이 "%systemDrive%\Extend\UsnJrnl\$J" 경로로 이동하면 %J 파일을 찾을 수 있다.

$UsnJrnl$J 파일은 파일 시스템의 모든 파일 및 디렉터리의 변경 사항을 기록하는 데이터이다.

○ 웹 아티팩트 수집

 경로 : %UserProfile%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat

[수집과정 - 7]

위 그림과 같이 "%UserProfile%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat" 경로로 이동시 웹 브라우저의 흔적을 관리하는 파일을 추출할 수 있다.

○ 프리패치 수집

 경로 : %systemRoot%\Windows\Prefetch\*.pf

[수집과정 - 8]

위 그림과 같이 "%systemRoot%\Windows\Prefetch\*.pf" 경로로 이동했을때 프리패치 파일들을 수집할 수 있다.

프리패치 파일에서 획득 가능한 정보는 다음과 같다.

- 응용프로그램 이름

- 응용프로그램 실행 횟수

- 응용프로그램 마지막 실행 시간

- 응용프로그램 파일의 파일시스템 시간 정보

- 응용프로그램이 위치한 볼륨 정보

- 응용프로그램이 참조하는 파일 목록

○ LNK 수집

 경로 : %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\*.lnk

[수집과정 - 9]

위 그림과 같이 "%UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\*.lnk" 경로에서 바로가기에 관련된 파일을 수집할 수 있다.

○ 레지스트리 하이브 파일 수집

 경로 : %SystemRoot%\Windows\System32\config\[SAM/SYSTEM/SOFTWARE/SECURITY] 

 경로 : %UserProfile%\NTUSER.dat

 경로 : %UserProfile%\AppData\Local\Microsoft\Windows\UsrClass.dat

[수집과정 - 10]

위 그림과 같이 "%SystemRoot%\Windows\System32\config\[SAM/SYSTEM/SOFTWARE/SECURITY]" 경로로 이동시 각각의 파일들을 수집할 수 있다. 각각의 파일들이 갖고 있는 정보는 다음과 같다.

- SAM : 로컬 계정과 그룹 정보

- SYSTEM : 시스템 부팅에 필요한 전역 설정 정보

- SOFTWARE : 시스템 부팅과 관련 없는 전역 설정 정보

- SECURITY : 시스템 부팅에 필요한 전역 설정 정보

[수집과정 - 11]

위 그림과 같이 "%UserProfile%\NTUSER.dat" 경로로 이동시 NTUSER.dat 파일을 수집할 수 있다.

NTUSER.dat 파일은 사용자별 설정 정보를 담고 있다.

[수집과정 - 12]

위 그림과 같이 "%UserProfile%\AppData\Local\Microsoft\Windows\UsrClass.dat" 경로로 이동시 UsrClass.dat 파일을  수집할 수 있다. 이 파일은 사용자별 애플리케이션 바인딩 정보를 가지고 있다.

○ 이벤트 로그 수집

 경로 : %SystemRoot%\Windows\System32\winevt\Logs\*.evt

[수집과정 - 13]

위 그림과 같이 "%SystemRoot%\Windows\System32\winevt\Logs\*.evt" 경로로 이동시 이벤트 로그 파일들을 수집할 수 있다.

○ 휴지통 정보

 경로 : %SystemRoot%$Recycle.Bin

[수집과정 - 14]

마지막으로 "%SystemRoot%$Recycle.Bin" 경로로 이동시 휴지통 정보를 수집할 수 있다.