디지털 포렌식 : : 바로가기(.Ink) 파일 분석

1. 개요

  이번 실습에서는 윈도우 운영체제 아티팩트 중 바로가기 파일 분석을 하려고한다.

실습 대상 파일인 .Ink 확장자 파일을 수집하여 분석을 진행하였다.

2. 바로가기(.Ink) 파일

  바로가기 파일은 윈도우 운영체제에만 존재하며 응용프로그램, 디렉터리, 파일 등 객체를 참조한다.

이 파일은 .Ink 확장자를 가지며 오직 GUI 에서만 동작한다. 

리눅스 운영체제에서는 이와 비슷한 기능으로 심볼릭 링크가 존재한다.

3. 바로가기(.Ink) 파일 분석과정

 1) 분석환경

   Windows 7 64bit 이미지 파일을 이용하여  실습을 진행하였다.

 해당 이미지는 RAT에 감염된 파일이고 피 파일은 K-Shield Jr 분석대응 과정 강의에서 제공되었다.

 2) 분석도구

  - WinHex 19 Portable 

  - UFTLnkParser

 3) 분석과정

[분석과정 - 1]

'WinHex 19 Portable' 를 관리자 권한으로 실행하고 이미지 파일을 오픈하면 HxD 화면과 같이 Hex 값과 문자열이 출력이 된다.

그 다음 상단의 Speciallist를 클릭 후 Interpret Image File As Disk 를 클릭하자 그 다음 partition 2를 더블 클릭하자. 

이제 *.Ink 파일을 찾아서 추출해야한다. 하지만 이 파일의 경로를 매번 암기하고 찾아가는건 힘들기 때문에 검색해서 찾자. 파일들을 찾기 위해서 WinHex 하단의 Explore recursively를 클릭하자. 

그 다음 최상단의 파일을 클릭 후 LNK 파일을 입력하면 [분석과정 - 1]과 같은 화면이 출력된다.

[분석과정 - 2]

[분석과정 - 1] 에서 네모 박스로 체크된 파일을 추출 후 'UFTLnkParser' 로 추출 된 파일이 존재하는 디렉터리를 읽어오자.

성공적으로 실행이되면 [분석과정 - 2] 와 같은 화면이 출력된다. 해당 화면에서 빨간 박스로 체크 된 부분을 보면 윈도우 운영체제 

디폴트 타임스탬프를 확인할 수 있다. 

 

[분석과정 - 3]

[분석과정 - 3]은 이전 다른 아티팩트 분석과정에서 찾은 msdcsc.exe 파일의 실행시간(18.09.17 오후 7:48)과 가장 근접한 시간대를 찾아보았다.  그 결과 18.09.17 오후 7시 52분 23초에 통장사본 파일이 실행된 것을 알 수 있다.