비휘발성 데이터 선별 수집(Non-Volatile Selective acquisition)

Page info

• Page type : PFP Reference
• Knowledge location : 1. First Response >> Live System Forensics(win) >> Non-Volatile Selective acquisition
• Other Reference : http://portable-forensics.com/document.html
• PFP & Manual downLoad : http://portable-forensics.com/download.html

비 휘발성 데이터의 선별 수집(Non Volatile-Selective Acquisition)

비 휘발성 데이터란 컴퓨터 시스템의 보조 기억 장치(HDD, SSD 등)에 저장되어 전원이 공급 되지 않아도, 유실되지 않는 데이터를 의미한다. 이름과 같이 휘발성 데이터와는 반대되는 개념으로, 안정적으로 시스템에 적재되어 있기 때문에 상대적으로 안정적인 수집이 가능하여 휘발성 데이터의 수집 이후에 수집하는 것이 일반적이다. 

비 휘발성 데이너는 일반적으로, 디스크 이미징을 통해 사건을 정밀하게 분석할 때의 주 분석 대상이 되는 데이터로도 볼 수 있다. 

디스크 사본을 생성한 경우에는 따로 비 휘발성 데이터를 확보할 필요가 없지만, 필요에 따라 활성 시스템 포렌식 중에도 비 휘발성 데이터를 수집하기도 한다. 

아래의 내용을 보자. 

활성 상태에서의 비 휘발성 데이터 수집 목적

디스크 사본 생성이 가능한 환경에서 활성 시스템 포렌식 중 비 휘발성 데이터를 수집하는 목적은, 디스크 사본을 생성하는 시간을 활용하여 효율 적인 분석을 수행하기 위함이다. 

디스크 사본에 대한 정밀 분석을 하기 이전에 사건의 정황 및 분석 방향을 미리 파악한다면, 전체 조사에 큰 도움이 된다. (물론, 사본 생성간의 시간이 짧거나 해당 시간 중에 다른 일을 해야 한다면 굳이 비 휘발성 데이터를 따로 수집하는 수고를 할 필요는 없다.)

단, 디스크 이미징이 허용되지 않는 환경에서는 조금 더 정확한 조사를 위해 상황과 조건이 허용하는 한도에서 최대한 비 휘발성 데이터를 수집하여 분석하는 것이 필수이다.

비 휘발성 데이터 수집 시 주의 점

비 휘발성 데이터를 수집할 때에는 일반적인 파일 열람, 복사 도구(explorer 등)를 사용해서는 안된다. 

서비스, 활성 프로세스에 연결되어 있는 데이터는 추출되지도 않을 뿐더러, 추출된 데이터조차도 생성, 접근 시간정보 등이 무너져 정확한 분석이 불가능 하게 되기 때문이다. 

따라서 디스크 오브젝트에 접근한 후, 파일 시스템을 해석하여 데이터를 추출하는 방법을 사용해야 하며(관련 도구는 PFP의 [Public] Raw Copy도구 그룹 확인), 

가능하다면 데이터의 수집 목록과 원본 위치, 해쉬 값 등을 기록, 문서화 하는 등의 조치와 함께 

현장 증인, 동영상 기록, 서명된 수집 확인서 등 수집 과정에 대한 정당성 확보 및 변조 가능성을 일축하기 위한 보조 자료를 다수 준비하는 것이 좋다. 

본 페이지에서는, 비 활성 데이터 중 수집이 필요한 항목과 해당 항목의 수집 목적을 기술한다. 각 항목의 분석 방법에 대해서는 PFP Document의 Windows System Analysis 기술 그룹의 내용을 통해 확인 가능하다. 

분석 대상(Target)

※ 아래의 내용은 PFP-List와 연동되는 정보로, PFP에서 확인 및 분석에 직접적인 활용이 가능합니다.
   (PFP Manual, PFP Download, PFP home)

문서 파일(Document File)

Target Path(Location)

%All_Folders%\*.hwp %All_Folders%\*.doc %All_Folders%\*.docx %All_Folders%\*.ppt %All_Folders%\*.pptx %All_Folders%\*.xls %All_Folders%\*.xlsx %All_Folders%\*.one %All_Folders%\*.txt

Check List

Collecting all document files in this system

Related Tools

[Public] Raw Copy

문서파일은 여러 사건에서 핵심 쟁점 사항인 경우가 많다. 침해사고 대응과정에서는 유난히 단서를 주지 못하는 데이터이지만, 대부분의 유저들의 컴퓨터 사용 목적이 '문서 작성 및 웹 서핑'이라는 점에 착안할 때, 증거 수사 시 필수적인 조사항목으로 분류되는 경우가 많다. 

물론, 침해사고 조사 과정에서도 문서파일의 취약점을 이용한 공격의 조사를 수행할 때에는 살펴볼 필요가 있지만, 여전히 파일의 내용을 볼 필요는 없다.

따라서, 상황에 따라 우선 수집하여 살펴볼 문서파일이 있는 경우에는 활성 시스템 대응 과정에서 확보하는 것이 좋다. 

사용자 폴더(User folder)

Target Path(Location)

%UserProfile% (Current user directory) %SystemDrive%\Users\ (All user directories in this system(in Vista and more over)) %SystemDrive%\Document and Settings\ (All user directories in this system(in XP, 2003))

Check List

Download My document Recent etc

Related Tools

[Public] Raw Copy

사용자 계정의 폴더에는 사용자 행위를 추측할만한 기록이 다수 포함되어 있다. 

대부분의 경우 최근에 사용한 문서, 즐겨찾기, 따로 보관중인 문서 등이 사용자 폴더 하위에 존재하므로, 컴퓨터 사용자가 주로 활용하는 데이터를 살펴보기 위한 경우 사용자 폴더를 살펴 필요한 내용을 미리 수집할 필요가 있다. 

최근 문서(Recent)

Target Path(Location)

%UserProfile%\Recent\ %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\ %UserProfile%\AppData\Roaming\Microsoft\Office\Recent\ %UserProfile%\NTUSER.DAT

Check List

All file in recent folder NTUSER.DAT file in user folder

Related Tools

[Public] Raw Copy

사용자 폴더 중에서도 최근 문서 폴더에는 사용자가 최근 열람한 문서의 링크파일이 존재한다. 

부정에 사용된 문서나 쟁점이 되는 문서의 링크파일이 존재하는 경우 유용한 정보를 다수 획득 가능하다. 

바로가기 링크(Shortcut)

Target Path(Location)

%UserProfile%\Desktop\ %UserProfile%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ %UserProfile%\Recent\ %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\ %UserProfile%\Start Menu\Programs\ %UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\

Check List

.lnk files

Related Tools

[Public] Raw Copy

링크 파일이 존재한다는 것은 링크 원본이 자주 사용되는 데이터일 가능성이 높다는 반증이다. 위 표는 최근 문서 이외에도 시스템 사용시 링크 파일이 주로 생성되는 위치를 나타낸다. 

복원 지점(Restore point)

Target Path(Location)

%SystemDrive%\System Volume Information\_restore{GUID}\RP### %SystemRoot%\system32\Restore\

Check List

All files in %SystemRoot%\system32\Restore\ Following files in System Volume Information - fifo.log file - change.log file - rp.log file - Registry snapshot - and etc(A#####.)

Related Tools

[Public] Raw Copy

XP의 복원 지점이나 Vista 이상의 VSC(Volume Shadow Copy)는 과거 시점의 시스템 상태를 파악하는데 도움이 되는 정보를 제공한다. 

또한, 디스크에서 유실된 데이터를 찾는데 도움이 되는 정보들 다수 포함하는 경우도 많다. 

시스템 아티팩트, 파일 시스템 아티팩트(Artifact(FileSystem))

Target Path(Location)

[NTFS Meta Files] %SystemDrive%\$MFT %SystemDrive%\$LogFile %SystemDrive%\$Extend\$UsnJrnl

Check List

Download My document Recent etc

Related Tools

[Public] Raw Copy

NTFS 파일 시스템은 메타데이터 영역을 파일로 관리한다. 이는 비 휘발성 데이터 취득 시 동반하여 내용을 취득하기 용이하다는 것을 의미한다. 

또한, 타임라인 분석 등을 통해 사건의 그림을 그리는데 매우 중요한 역할하는 것이 파일 시스템 메타데이터이므로, 조사 대상 시스템이 NTFS 파일 시스템을 사용한다면 비 휘발성 데이터 수집 시 같이 수집하는 것이 좋다. 

시스템 아티팩트, 레지스트리(Artifact(Registry))

Target Path(Location)

%UserProfile%\NTUSER.DAT %SystemRoot%\System32\config\system %SystemRoot%\System32\config\software %SystemRoot%\System32\config\sam %SystemRoot%\System32\config\default

Check List

NTUSER.DAT hive file System hive file software hive file sam hive file default hive file

Related Tools

[Public] Raw Copy REGA

레지스트리는 Windows Family가 시스템이나 응용프로그램의 다양한 설정 정보를 저장. 활용하기 위해 사용하는 관리 체계이다. 이에 대한 전용 분석 도구가 이미 많이 개발되어 있으므로, 수집 후 분석이 용이하고 분석 후, 시스템 및 응용프로그램에 관한 수 많은 정보를 획득할 수 있다. 가능하다면 반드시 수집하자. 

시스템 아티팩트, 이벤트 로그(Artifact(eventlog))

Target Path(Location)

[In Vista and more over] %SystemRoot%\System32\winevt\Logs\security.evtx %SystemRoot%\System32\winevt\Logs\system.evtx %SystemRoot%\System32\winevt\Logs\application.evtx %SystemRoot%\System32\winevt\Logs\*.evtx [In XP and 2003] %SystemRoot%\System32\Config\SysEvent.Evt %SystemRoot%\System32\Config\AppEvent.Evt %SystemRoot%\System32\Config\SecEvent.Evt

Check List

System, Application, Security logs(necessary) can gather more information in vista or more over

Related Tools

[Public] Raw Copy

침해사고 분석에서 이벤트 로그의 조사는 감사 로깅이 설정된 경우, 프로그램의 실행, 외부 접속 등 사건 해결의 실마리가 되는 결정적인 정보를 제공하는 경우가 많다. 

또한 침해사고 분석 이외에도, 시스템 감사 설정 여부에 따라 다양한 정보를 남기기 때문에 디지털 포렌식 분석 시 꼭 살펴보아야할 부분 중 하나이다. 

시스템 아티팩트, 웹 브라우저(Artifact(Web browser))

Target Path(Location)

[Internet explorer, vista and more over] %UserProfile%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat  (Internet explorer temporary internet file, Internet explorer Cache) %UserProfile%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\\*.* (Internet explorer temp) %UserProfile%\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat %UserProfile%\AppData\Local\Microsoft\Windows\History\History.IE5\ MSHist###################\index.dat (Internet explorer History) %UserProfile%\AppData\Roaming\Microsoft\Windows\Cookies\index.dat %UserProfile%\AppData\Roaming\Microsoft\Windows\Cookies\ (All text file, Internet explorer Cookie) %UserProfile%\AppData\Roaming\Microsoft\Windows\IEDownloadHistory\index.dat (Internet explorer download) [Internet explorer, XP and lower] %UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\*.* (Internet explorer temporary internet file) %UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\index.dat %UserProfile%\Local Settings\Temporary Internet Files\Content.IE\\*.* (Internet explorer Cache) %UserProfile%\Local Settings\History\History.IE5\index.dat %UserProfile%\Local Settings\History\History.IE5\<Period>\index.dat (Internet explorer History) %UserProfile%\Cookies\index.dat %UserProfile%\Cookies\ (All text file, Internet explorer Cookie) [FireFox, Vista and more over] %UserProfile%\AppData\Local\Mozilla\Firefox\Profiles\\Cache\_CACHE_MAP_XXX (Cache) %UserProfile%\AppData\Roaming\Mozilla\Firefox\Profiles\.default\places.sqlite (History) %UserProfile%\AppData\Roaming\Mozilla\Firefox\Profiles\.default\cookies.sqlite (Cookie) %UserProfile%\AppData\Roaming\Mozilla\Firefox\Profiles\.default\download.sqlite         (Download) [FireFox, XP and lower] %UserProfile%\Local Settings\Application Data\Mozilla\Firefox\Profiles\.default\Cache\ (All folder and file, Cache) %UserProfile%\Application Data\Mozilla\Firefox\Profiles\.default\places.sqlite (History) %UserProfile%\Application Data\Mozilla\Firefox\Profiles\.default\cookies.sqlite (Cookie) %UserProfile%\Application Data\Mozilla\Firefox\Profiles\.default\downloads.sqlite (Download) [Google Chrome, Vista and more over] %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Cache\ (Cache) %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\History (History, Download) %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\History\History Index <YYYY-MM> (History) %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Cookies (Cookie) [Google Chrome, XP and lower] %UserProfile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache\*.* (Cache) %UserProfile%\Local Settings\Application Data\Google\Chrome\User Data\Default\History (History, Download) %USERNAME%\Local Settings\Application Data\Google\Chrome\User Data\Default\History Index <YYYY-MM> (History) %UserProfile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies (Cookie) [Safari, Vista and more over] %UserProfile%\AppData\Local\Apple Computer\Safari\Cache.db (Cache) %UserProfile%\AppData\Roaming\Apple Computer\Safari\History.plist (History) %UserProfile%\AppData\Roaming\Apple Computer\Safari\Cookies\Cookies.plist (Cookie) %UserProfile%\AppData\Roaming\Apple Computer\Safari\Downloads.plist (Download) [Safari, XP and lower] %UserProfile%\Local Settings\Application Data\Apple Computer\Safari\Cache.db (Cache) %UserProfile%\Application Data\Apple Computer\Safari\History.plist (History) %UserProfile%\Application Data\Apple Computer\Safari\Cookies\Cookies.plist (Cookie) %UserProfile%\Application Data\Apple Computer\Safari\Downloads.plist (Download) [Opera, Vista and more over] %UserProfile%\AppData\Local\Opera\Opera\cache\dcache4.url (Cache) %UserProfile%\AppData\Roaming\Opera\Opera\global_history.dat (History) %UserProfile%\AppData\Roaming\Opera\Opera\cookies4.dat (Cookie) %UserProfile%\AppData\Roaming\Opera\Opera\download.dat (Download) [Opera, XP and lower] %UserProfile%\Local Settings\Application Data\Opera\Opera\cache\dcache4.url (Cache) %UserProfile%\Application Data\Opera\Opera\global_history.dat (History) %UserProfile%\Application Data\Opera\Opera\cookies4.dat (Cookie) %UserProfile%\Application Data\Opera\Opera\download.dat (Download)

Check List

Web history Web Cache Web Cookie Web download list Consider the following web browser  - Internet explorer, Chrome, Safari, Firefox, Opera

Related Tools

[Public] Raw Copy WEFA

웹 브라우저 사용 흔적은 사용자의 결정적 행위, 사상, 악성코드의 유입 지점 등을 추측할 수 있는 정보를 상당수 포함하므로 레지스트리와 더불어, 반드시 수집하여 정보를 조사할 필요가 있는 분야이다. 

시스템 아티팩트, 프리패치(Artifact(Prefetch, Superfetch))

Target Path(Location)

%SystemRoot%\prefetch\

Check List

Download My document Recent etc

Related Tools

[Public] Raw Copy

프리 패치 폴더에서는 프리패치 파일(.pf)의 분석을 통해 실행파일이 동작한 흔적(동작 시간 등)과 근거자료를 충분히 획득할 수 있다. 

시스템 아티팩트, 윈도우 로그(Artifact(Windows log))

Target Path(Location)

%SystemRoot%\PANTHER\setupact.log %SystemRoot%\Debug\Netsetup.log %SystemRoot%\SchedLgU.txt %SystemRoot%\system32\LogFiles\Firewall\pfirewall.log %SystemRoot%\pfirewall.log %SystemRoot%\Drwatson\Watsonxxx.wlg %SystemRoot%\setupact.log %SystemRoot%\logs\cbs\cbs.log %SystemRoot%\PANTHER\setuperr.log %SystemRoot%\setuperr.log %SystemRoot%\INF\setupapi.dev.log %SystemRoot%\INF\setupapi.app.log %SystemRoot%\setupapi.log

Check List

Setupact Netsetup Task Scheduler Firewall Log Dr.Watson Cbs.log Setuperr Setupapi

Related Tools

[Public] Raw Copy

위 표는 윈도우에서 운용하는 주요 로그의 경로를 나타내고 있으며, 로그파일을 정밀히 조사하면 파일의 실행 흔적, 어플리케이션 설치 정보, 외장장치 연결 흔적, 예약된 작업 등, 시스템 운용에 관련된 정보를 다수 획득할 수 있다.