2014년 9월 9일 화요일

비휘발성 데이터 선별 수집(Non-Volatile Selective acquisition)



Page info


 휘발성 데이터의 선별 수집(Non Volatile-Selective Acquisition)

 휘발성 데이터란 컴퓨터 시스템의 보조 기억 장치(HDD, SSD ) 저장되어 전원이 공급 되지 않아도유실되지 않는 데이터를 의미한다. 이름과 같이 휘발성 데이터와는 반대되는 개념으로, 안정적으로 시스템에 적재되어 있기 때문에 상대적으로 안정적인 수집이 가능하여 휘발성 데이터의 수집 이후에 수집하는 것이 일반적이다. 

    비 휘발성 데이너는 일반적으로, 디스크 이미징을 통해 사건을 정밀하게 분석할 때의 주 분석 대상이 되는 데이터로도 볼 수 있다. 

      디스크 사본을 생성한 경우에는 따로 비 휘발성 데이터를 확보할 필요가 없지만, 필요에 따라 활성 시스템 포렌식 중에도  휘발성 데이터를 수집하기도 한다. 

      아래의 내용을 보자. 


        활성 상태에서의  휘발성 데이터 수집 목적


        디스크 사본 생성이 가능한 환경에서 활성 시스템 포렌식 중 비 휘발성 데이터를 수집하는 목적은, 디스크 사본을 생성하는 시간을 활용하여 효율 적인 분석을 수행하기 위함이다. 

        디스크 사본에 대한 정밀 분석을 하기 이전에 사건의 정황  분석 방향을 미리 파악한다면, 전체 조사에 큰 도움이 된다. (물론, 사본 생성간의 시간이 짧거나 해당 시간 중에 다른 일을 해야 한다면 굳이 비 휘발성 데이터를 따로 수집하는 수고를 할 필요는 없다.)

        단, 디스크 이미징이 허용되지 않는 환경에서는 조금 더 정확한 조사를 위해 상황과 조건이 허용하는 한도에서 최대한 비 휘발성 데이터를 수집하여 분석하는 것이 필수이다.


         휘발성 데이터 수집  주의 


        비 휘발성 데이터를 수집할 때에는 일반적인 파일 열람, 복사 도구(explorer )를 사용해서는 안된다. 


        서비스활성 프로세스에 연결되어 있는 데이터는 추출되지도 않을 뿐더러, 추출된 데이터조차도 생성, 접근 시간정보 등이 무너져 정확한 분석이 불가능 하게 되기 때문이다. 

        따라서 디스크 오브젝트에 접근한 후, 파일 시스템을 해석하여 데이터를 추출하는 방법을 사용해야 하며(관련 도구는 PFP의 [Public] Raw Copy도구 그룹 확인), 

        가능하다면 데이터의 수집 목록과 원본 위치해쉬  등을 기록문서화 하는 등의 조치와 함께 

        현장 증인동영상 기록서명된 수집 확인서 등 수집 과정에 대한 정당성 확  변조 가능성을 일축하기 위한 보조 자료를 다수 준비하는 것이 좋다. 




           페이지에서는,  활성 데이터  수집이 필요한 항목과 해당 항목의 수집 목적을 기술한다.  항목의 분석 방법에 대해서는 PFP Document Windows System Analysis 기술 그룹의 내용을 통해 확인 가능하다. 



            분석 대상(Target)

            ※ 아래의 내용은 PFP-List와 연동되는 정보로, PFP에서 확인 및 분석에 직접적인 활용이 가능합니다.
               (PFP ManualPFP DownloadPFP home)


            문서 파일(Document File)

            Target Path(Location)
            %All_Folders%\*.hwp
            %All_Folders%\*.doc
            %All_Folders%\*.docx
            %All_Folders%\*.ppt
            %All_Folders%\*.pptx
            %All_Folders%\*.xls
            %All_Folders%\*.xlsx
            %All_Folders%\*.one
            %All_Folders%\*.txt
            Check List
            Collecting all document files in this system
            Related Tools
            [Public] Raw Copy

            문서파일은 여러 사건에서 핵심 쟁점 사항인 경우가 많다. 침해사고 대응과정에서는 유난히 단서를 주지 못하는 데이터이지만, 대부분의 유저들의 컴퓨터 사용 목적이 '문서 작성 및 웹 서핑'이라는 점에 착안할 때, 증거 수사 시 필수적인 조사항목으로 분류되는 경우가 많다. 

              물론, 침해사고 조사 과정에서도 문서파일의 취약점을 이용한 공격의 조사를 수행할 때에는 살펴볼 필요가 있지만, 여전히 파일의 내용을 볼 필요는 없다.

              따라서, 상황에 따라 우 수집하여 살펴볼 문서파일이 있는 경우에는 활성 시스템 대응 과정에서 확보하는 것이 좋다. 



                  사용자 폴더(User folder)
                    Target Path(Location)
                    %UserProfile%
                    (Current user directory)
                    %SystemDrive%\Users\
                    (All user directories in this system(in Vista and more over))
                    %SystemDrive%\Document and Settings\
                    (All user directories in this system(in XP, 2003))
                    Check List
                    Download
                    My document
                    Recent
                    etc
                    Related Tools
                    [Public] Raw Copy

                    사용자 계정의 폴더에는 사용자 행위를 추측할만한 기록이 다수 포함되어 있다. 

                      대부분의 경우 최근에 사용한 문서즐겨찾기따로 보관중인 문서 등이 사용자 폴더 하위에 존재하므로, 컴퓨터 사용자가 주로 활용하는 데이터를 살펴보기 위한 경우 사용자 폴더를 살펴 필요한 내용을 미리 수집할 필요가 있다. 



                        최근 문서(Recent)
                          Target Path(Location)
                          %UserProfile%\Recent\
                          %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\
                          %UserProfile%\AppData\Roaming\Microsoft\Office\Recent\
                          %UserProfile%\NTUSER.DAT
                          Check List
                          All file in recent folder
                          NTUSER.DAT file in user folder
                          Related Tools
                          [Public] Raw Copy

                          사용자 폴더 중에서도 최근 문서 폴더에는 사용자가 최근 열람한 문서의 링크파일이 존재한다. 

                            부정에 사용된 문서나 쟁점이 되는 문서의 링크파일이 존재하는 경우 유용한 정보를 다수 획득 가능하다. 



                                바로가기 링크(Shortcut)
                                  Target Path(Location)
                                  %UserProfile%\Desktop\
                                  %UserProfile%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\
                                  %UserProfile%\Recent\
                                  %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\
                                  %UserProfile%\Start Menu\Programs\
                                  %UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\
                                  %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\
                                  Check List
                                  .lnk files
                                  Related Tools
                                  [Public] Raw Copy

                                  링크 파일이 존재한다는 것은 링크 원본이 자주 사용되는 데이터일 가능성이 높다는 반증이다. 위 표는 최근 문서 이외에도 시스템 사용시 링크 파일이 주로 생성되는 위치를 나타낸다. 



                                      복원 지점(Restore point)
                                        Target Path(Location)
                                        %SystemDrive%\System Volume Information\_restore{GUID}\RP###
                                        %SystemRoot%\system32\Restore\
                                        Check List
                                        All files in %SystemRoot%\system32\Restore\
                                        Following files in System Volume Information
                                        - fifo.log file
                                        - change.log file
                                        - rp.log file
                                        - Registry snapshot
                                        - and etc(A#####.)
                                        Related Tools
                                        [Public] Raw Copy

                                        XP 복원 지점이나 Vista 이상의 VSC(Volume Shadow Copy)는 과거 시점의 시스템 상태를 파악하는데 도움이 되는 정보를 제공한다. 

                                        또한디스크에서 유실된 데이터를 찾는데 도움이 되는 정보들 다수 포함하는 경우도 많다. 



                                            시스템 아티팩트, 파일 시스템 아티팩트(Artifact(FileSystem))
                                            Target Path(Location)
                                            [NTFS Meta Files]
                                            %SystemDrive%\$MFT
                                            %SystemDrive%\$LogFile
                                            %SystemDrive%\$Extend\$UsnJrnl
                                            Check List
                                            Download
                                            My document
                                            Recent
                                            etc
                                            Related Tools
                                            [Public] Raw Copy

                                            NTFS 파일 시스템은 메타데이터 영역을 파일로 관리한다. 이는  휘발성 데이터 취득  동반하여 내용을 취득하기 용이하다는 것을 의미한다. 

                                            또한타임라인 분석 등을 통해 사건의 그림을 그리는데 매우 중요한 역할하는 것이 파일 시스템 메타데이터이므로, 조사 대상 시스템이 NTFS 파일 시스템을 사용한다면 비 휘발성 데이터 수집 시 같이 수집하는 것이 좋다. 



                                              시스템 아티팩트레지스트리(Artifact(Registry))
                                                Target Path(Location)
                                                %UserProfile%\NTUSER.DAT
                                                %SystemRoot%\System32\config\system
                                                %SystemRoot%\System32\config\software
                                                %SystemRoot%\System32\config\sam
                                                %SystemRoot%\System32\config\default
                                                Check List
                                                NTUSER.DAT hive file
                                                System hive file
                                                software hive file
                                                sam hive file
                                                default hive file
                                                Related Tools
                                                [Public] Raw Copy
                                                REGA

                                                레지스트리는 Windows Family 시스템이나 응용프로그램의 다양한 설정 정보를 저장활용하기 위해 사용하는 관리 체계이다. 이에 대한 전용 분석 도구가 이미 많이 개발되어 있으므로, 수집 후 분석이 용이하고 분석 후, 시스템  응용프로그램에 관한  많은 정보를 획득할  있다가능하다면 반드시 수집하자. 



                                                    시스템 아티팩트이벤트 로그(Artifact(eventlog))
                                                      Target Path(Location)
                                                      [In Vista and more over]
                                                      %SystemRoot%\System32\winevt\Logs\security.evtx
                                                      %SystemRoot%\System32\winevt\Logs\system.evtx
                                                      %SystemRoot%\System32\winevt\Logs\application.evtx
                                                      %SystemRoot%\System32\winevt\Logs\*.evtx
                                                      [In XP and 2003]
                                                      %SystemRoot%\System32\Config\SysEvent.Evt
                                                      %SystemRoot%\System32\Config\AppEvent.Evt
                                                      %SystemRoot%\System32\Config\SecEvent.Evt
                                                      Check List
                                                      System, Application, Security logs(necessary)
                                                      can gather more information in vista or more over 
                                                      Related Tools
                                                      [Public] Raw Copy

                                                      침해사고 분석에서 이벤트 로그의 조사는 감사 로깅이 설정된 경우, 프로그램의 실행외부 접속  사건 해결의 실마리가 되는 결정적인 정보를 제공하는 경우가 많다. 

                                                      또한 침해사고 분석 이외에도시스템 감사 설정 여부에 따라 다양한 정보를 남기기 때문에 디지털 포렌식 분석  꼭 살펴보아야할 부분 중 하나이다. 



                                                        시스템 아티팩트 브라우저(Artifact(Web browser))
                                                          Target Path(Location)
                                                          [Internet explorer, vista and more over]
                                                          %UserProfile%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat 
                                                          (Internet explorer temporary internet file, Internet explorer Cache)
                                                          %UserProfile%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\\*.*
                                                          (Internet explorer temp)
                                                          %UserProfile%\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
                                                          %UserProfile%\AppData\Local\Microsoft\Windows\History\History.IE5\
                                                          MSHist###################\index.dat
                                                          (Internet explorer History)
                                                          %UserProfile%\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
                                                          %UserProfile%\AppData\Roaming\Microsoft\Windows\Cookies\
                                                          (All text file, Internet explorer Cookie)
                                                          %UserProfile%\AppData\Roaming\Microsoft\Windows\IEDownloadHistory\index.dat
                                                          (Internet explorer download)

                                                          [Internet explorer, XP and lower]
                                                          %UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\*.*
                                                          (Internet explorer temporary internet file)
                                                          %UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\index.dat
                                                          %UserProfile%\Local Settings\Temporary Internet Files\Content.IE\\*.*
                                                          (Internet explorer Cache)
                                                          %UserProfile%\Local Settings\History\History.IE5\index.dat
                                                          %UserProfile%\Local Settings\History\History.IE5\<Period>\index.dat
                                                          (Internet explorer History)
                                                          %UserProfile%\Cookies\index.dat
                                                          %UserProfile%\Cookies\
                                                          (All text file, Internet explorer Cookie)


                                                          [FireFox, Vista and more over]
                                                          %UserProfile%\AppData\Local\Mozilla\Firefox\Profiles\\Cache\_CACHE_MAP_XXX
                                                          (Cache)
                                                          %UserProfile%\AppData\Roaming\Mozilla\Firefox\Profiles\.default\places.sqlite
                                                          (History)
                                                          %UserProfile%\AppData\Roaming\Mozilla\Firefox\Profiles\.default\cookies.sqlite
                                                          (Cookie)
                                                          %UserProfile%\AppData\Roaming\Mozilla\Firefox\Profiles\.default\download.sqlite        
                                                          (Download)

                                                          [FireFox, XP and lower]
                                                          %UserProfile%\Local Settings\Application Data\Mozilla\Firefox\Profiles\.default\Cache\
                                                          (All folder and file, Cache)
                                                          %UserProfile%\Application Data\Mozilla\Firefox\Profiles\.default\places.sqlite
                                                          (History)
                                                          %UserProfile%\Application Data\Mozilla\Firefox\Profiles\.default\cookies.sqlite
                                                          (Cookie)
                                                          %UserProfile%\Application Data\Mozilla\Firefox\Profiles\.default\downloads.sqlite
                                                          (Download)


                                                          [Google ChromeVista and more over]
                                                          %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Cache\
                                                          (Cache)
                                                          %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\History
                                                          (History, Download)
                                                          %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\History\History Index <YYYY-MM>
                                                          (History)
                                                          %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Cookies
                                                          (Cookie)

                                                          [Google ChromeXP and lower]
                                                          %UserProfile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache\*.*
                                                          (Cache)
                                                          %UserProfile%\Local Settings\Application Data\Google\Chrome\User Data\Default\History
                                                          (History, Download)
                                                          %USERNAME%\Local Settings\Application Data\Google\Chrome\User Data\Default\History Index <YYYY-MM>
                                                          (History)
                                                          %UserProfile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies
                                                          (Cookie)


                                                          [SafariVista and more over]
                                                          %UserProfile%\AppData\Local\Apple Computer\Safari\Cache.db
                                                          (Cache)
                                                          %UserProfile%\AppData\Roaming\Apple Computer\Safari\History.plist
                                                          (History)
                                                          %UserProfile%\AppData\Roaming\Apple Computer\Safari\Cookies\Cookies.plist
                                                          (Cookie)
                                                          %UserProfile%\AppData\Roaming\Apple Computer\Safari\Downloads.plist
                                                          (Download)

                                                          [Safari, XP and lower]
                                                          %UserProfile%\Local Settings\Application Data\Apple Computer\Safari\Cache.db
                                                          (Cache)
                                                          %UserProfile%\Application Data\Apple Computer\Safari\History.plist
                                                          (History)
                                                          %UserProfile%\Application Data\Apple Computer\Safari\Cookies\Cookies.plist
                                                          (Cookie)
                                                          %UserProfile%\Application Data\Apple Computer\Safari\Downloads.plist
                                                          (Download)


                                                          [Opera, Vista and more over]
                                                          %UserProfile%\AppData\Local\Opera\Opera\cache\dcache4.url
                                                          (Cache)
                                                          %UserProfile%\AppData\Roaming\Opera\Opera\global_history.dat
                                                          (History)
                                                          %UserProfile%\AppData\Roaming\Opera\Opera\cookies4.dat
                                                          (Cookie)
                                                          %UserProfile%\AppData\Roaming\Opera\Opera\download.dat
                                                          (Download)

                                                          [Opera, XP and lower]
                                                          %UserProfile%\Local Settings\Application Data\Opera\Opera\cache\dcache4.url
                                                          (Cache)
                                                          %UserProfile%\Application Data\Opera\Opera\global_history.dat
                                                          (History)
                                                          %UserProfile%\Application Data\Opera\Opera\cookies4.dat
                                                          (Cookie)
                                                          %UserProfile%\Application Data\Opera\Opera\download.dat
                                                          (Download)
                                                          Check List
                                                          Web history
                                                          Web Cache
                                                          Web Cookie
                                                          Web download list
                                                          Consider the following web browser
                                                           - Internet explorer, Chrome, Safari, Firefox, Opera
                                                          Related Tools
                                                          [Public] Raw Copy
                                                          WEFA

                                                           브라우저 사용 흔적은 사용자의 결정적 행위사상악성코드의 유입 지점 등을 추측할  있는 정보를 상당수 포함하므로 레지스트리와 더불어, 반드시 수집하여 정보를 조사할 필요가 있는 분야이다. 


                                                            시스템 아티팩트프리패치(Artifact(Prefetch, Superfetch))
                                                              Target Path(Location)
                                                              %SystemRoot%\prefetch\
                                                              Check List
                                                              Download
                                                              My document
                                                              Recent
                                                              etc
                                                              Related Tools
                                                              [Public] Raw Copy

                                                              프리 패치 폴더에서는 프리패치 파일(.pf)의 분석을 통해 실행파일이 동작한 흔적(동작 시간 ) 근거자료를 충분히 획득할 수 있다. 



                                                                  시스템 아티팩트윈도우 로그(Artifact(Windows log))
                                                                    Target Path(Location)
                                                                    %SystemRoot%\PANTHER\setupact.log
                                                                    %SystemRoot%\Debug\Netsetup.log
                                                                    %SystemRoot%\SchedLgU.txt
                                                                    %SystemRoot%\system32\LogFiles\Firewall\pfirewall.log
                                                                    %SystemRoot%\pfirewall.log
                                                                    %SystemRoot%\Drwatson\Watsonxxx.wlg
                                                                    %SystemRoot%\setupact.log
                                                                    %SystemRoot%\logs\cbs\cbs.log
                                                                    %SystemRoot%\PANTHER\setuperr.log
                                                                    %SystemRoot%\setuperr.log
                                                                    %SystemRoot%\INF\setupapi.dev.log
                                                                    %SystemRoot%\INF\setupapi.app.log
                                                                    %SystemRoot%\setupapi.log
                                                                    Check List
                                                                    Setupact
                                                                    Netsetup
                                                                    Task Scheduler
                                                                    Firewall Log
                                                                    Dr.Watson
                                                                    Cbs.log
                                                                    Setuperr
                                                                    Setupapi
                                                                    Related Tools
                                                                    [Public] Raw Copy

                                                                    위 표는 윈도우에서 운용하는 주요 로그의 경로를 나타내고 있으며, 로그파일을 정밀히 조사하면 파일의 실행 흔적어플리케이션 설치 정보외장장치 연결 흔적예약된 작업 등, 시스템 운용에 관련된 정보를 다수 획득할 수 있다

                                                                        댓글 없음:

                                                                        댓글 쓰기

                                                                        질문이나 조언은 언제든 환영입니다.
                                                                        악의적 댓글이나 무조건적인 비방은 삼가주세요.