파일 추가, 삭제 등 레지스트리에 저장 안 됨 → 오직, 레지스트리에 시간(Time)만 남음
라이브 포렌식 : 살아있는 컴퓨터에서 정보 수집 → 주요 대상 : 메모리 이미지
메모리 이미지 캡처 후, 분석할 때
→ **실마리(단서)**를 찾기 위해 레지스트리도 같이 분석함
→ 상황 분석, 상황 이해 파악 가능
비활성 데이터 : 레지스트리 파일, 윈도우 시스템 파일 등
“활성 데이터 수집한다” == **“메모리 이미지 캡처받는다”**는 의미
→ 메모리 이미지 캡처받는 데 시간 오래 걸리기 때문에, 주요 비활성 데이터도 같이 추출받는 것
분석실로 가서, 하드디스크 캡처 받은 것 가지고 → 분석하기
문제점 : 라이브 포렌식에서 라이브 상태일 때 조금만 잘못하면, 메모리 상태가 변경 및 손상됨
“포렌식 수사관은 이러한 문제점은 감수하고 해야 할 가치가 있을까?” ⇒ 분석의 효율성 고려하기
→ 했을 때의 이득이 > 안 했을 때의 불이익보다 크면 같이 분석하기
하드디스크(HD)에 있는 파일 : 절대로 변경 및 수정되면 안 됨 (X)
| 메모리 : 변경 및 수정되도 됨 (O) ⇒ 법정 증거로 제출되는 경우가 적음 |
단서나 실마리 찾는 게 중요 ⇒ 활성 데이터 + 비활성 데이터 수집하기
비활성 데이터 중 → 데이터 크기가 크지 않지만 매우 중요하게 활용되는 데이터
- FAT의 디렉토리 엔트리 정보등의 파일시스템 메타데이터
- (메모리 올라가기 전, 메모리 형태로 프레임이 짜여 있는 것)
- Registry Hive 파일
- 프리페치 / 슈처페치 파일
- 각종 로그 기록들(이벤트 로그, 이외의 여러 가지 시스템 사용하면서 발생한 로그 기드록등)
- 휴지통 정보
- 브라우저 사용 흔적
→ 단서 or 실마리를 주는데 매우 중요
활성 데이터는 타임라인 분석을 비롯한 거의 모든 분석 가능
비활성 데이터
$MET (파일시스템 메타데이터)
$LogFile, $UsnJrnl:$J (파일 시스템 로그)
웹 아티팩트(인공물;흔적)
프리페치
바로가기 파일
레지스트리 하이브파일
이벤트 로그
⇒ 이런 파일들이 하드디스크에 남아 있어, 메모리 분석할 때 사용
VBR VBR
| $ MFT | |
| (FAT 1 + FAT 2 |
- 디렉토리엔트리) | FAT 1 | | ($UsnJrnl/$J) | FAT 2 | | ($Logfile) | 디렉토리 엔트리 | | | |
NT 파일 시스템 | FAT 파일 시스템
Window에서 시스템 파일 = 달러사인 ($)
$ MFT = FAT 1 + FAT 2 + 디렉토리엔트리
디렉토리 엔트리 : 파일 만든 시간, 접근 시간, 파일 이름 및 크기 등의 파일 속성 정보 모두 포함
이러한 파일 속성 정보가 “$UsnJrnl:$J”에 존재함
파일 자체가 언제 만들어졌는지 등의 정보도 필요함
트렌젝션 로드 = 파일 Open == 접근해서 오픈하고 읽었다는 말
→ “$Logfile”로 남아있음
- 속성이 어떻게 변화했는지 보고 싶으면 ”$UsnJrnl”보기
- 파일 용량이 정해져있음 - 초창기의 정보 날라가는 문제 존재할 수 있는 문제점 존재 *
정보를 Windows에 남겨두는 이유? - 나중에 Un do, Re do를 하기 위해 사용
→ 복구하고 싶을 때, 윈도우즈가 Logfile or UsnJrnl을 보고, 이 당시에 뭘 했는지 알 수 있음
→ 포렌직에 사용
활용
악성코드 행위를 파악하는데 사용됨
파일 속성 변경 기록 존재
하루 24시간 사용 시, UsnJrnl 혹은 Logfile이 1~2일 정보가 기록됨 (보통의 경우)
하루 8시간 사용 시, UsnJrnl 혹은 Logfile이 4~5일 정보가 기록됨
'디지털포렌직스 스터디' 카테고리의 다른 글
| [디지털포렌직스] 11주차 (0) | 2024.11.24 |
|---|---|
| [디지털포렌직스] 10주차 (0) | 2024.11.16 |
| [디지털포렌직스] 9주차 (0) | 2024.11.10 |
| [디지털포렌직스] 7주차 (0) | 2024.10.26 |
| [디지털포렌직스] 6주차 (0) | 2024.10.18 |