본문 바로가기

포렌식

바로가기(LNK) 파일 윈도우에는 다른 OS와 차별화된 '바로가기' 라는 기능의 파일이 존재한다. 다른 OS에는 비슷한 기능으로 심볼릭 링크가 존재한다. 대부분의 사람들이 이 두 기능을 같은 기능으로 보고 있지만, 분명히 다른 기능이다. 윈도우의 바로가기 기능은 OS 차원의 기능이고, 심볼릭 링크는 파일시스템 차원의 기능이어서 그 기능의 동작방식부터가 다르다. 윈도우의 바로가기 기능의 경우 바로가기 파일을 통해 실현 가능한데, 이 파일은 일반 파일과 동일하게 메타데이터와 MFT 엔트리를 가지고 있고 심볼릭 링크의 경우 원본 파일을 가리키고 있는 것은 파일이 아닌 것으로 파일시스템이 인식하기 때문에 이 두기능이 다르다고 할 수 있다. 그럼 윈도우에서 바로가기가 어떤 경우에 생성되는지 알아보자. [바로가기 생성] 1. 윈도우 설치.. 더보기
이벤트 로그 모든 OS에는 OS에서 이루어지는 모든 활동에 대한 기록을 남기는 기능이 있는데 이 기능의 결과물을 로그라고 한다. 윈도우에서는 특정 동작을 이벤트라고 하는데 이벤트에 대한 기록을 이벤트 로그라고 부른다. 이벤트 로그에는 응용 프로그램 로그, 보안로그, 시스템로그 3가지로 분류되며 각 이벤트 로그의 설명은 다음과 같다. [이벤트 로그] 1. 응용 프로그램 로그 - 시스템 구성 요소를 제외한 모든 응용 프로그램이 만드는 알림 메시지나, 오류, 비정상 종료등을 기록 함 - 로그의 일정 형식이나 규칙은 없음. 2. 보안 로그 - 로그인 성공/실패, 시스템 리소스에 대한 잘못된 접근, 보안정책 변경등을 기록 함 - 보안 로그는 응용 프로그램이 남길수는 없으며, Lsass.exe만이 남길 수 있다. 3. 시스템 .. 더보기
휴지통 분석 휴지통이라는 것은 누구나 아는 것이며 그 기능 또한 누구나 다 알고 있을 것이다. 하지만 휴지통의 원리를 아는 사람은 휴지통을 아는 사람 중 얼마나 될까? 조사관이라면 휴지통이 어떠한 구조와 원리로 되어 있는지 알아야 한다. 지금부터 휴지통에 대해서 분석 해 보자. 일단 모두가 알고 있는 삭제 기능을 정리하면 다음과 같다. [윈도우의 삭제 기능] - 휴지통에 삭제할 파일을 이동하여 휴지통 비우기로 삭제 - 휴지통을 거치지 않고 Shift+Delete 키로 삭제 휴지통은 볼륨마다 있으며 INFO2($I)라는 파일을 사용한다. 이 파일의 길이는 800바이트이고, Win Vista/7 이후 부터는 INFO2 파일을 사용하지 않고 $I라는 파일을 사용한다. 휴지통 폴더의 이름은 RECYCLER이며 Win Vis.. 더보기
윈도우 계정 이번글에서는 윈도우의 계정 관리 체계를 알아 볼 것이다. 윈도우는 사용자가 알기 쉽도록 이름으로 계정을 표기해주며 자신이 계정을 이해 할 때에는 SID라는 것을 사용하여 계정을 관리 한다. 이름으로 나열하는 경우 하나의 시스템에서는 문제가 되지 않지만, 도메인등의 다른 컴퓨터와 그룹형식으로 묶여 있을 경우 이름의 중복이 생길 수 있어 윈도우는 SID라는 것을 사용하여 관리하는 것이다. SID의 형식과 의미는 다음 이미지에서 볼 수 있다. [그림 1 - SID 형식] SID 부분 중에 3번째(위에서 21로 시작하는 부분)에 해당하는 Sub-authority value는 다른 부분들과 다르게 랜덤으로 결정된다. 위 이미지의 SID는 XP SP2에서 가져온 것이지만, Win 7에서도 아직까지 위 SID 형식을.. 더보기
SANS Forensic Contest Puzzle #2 #1 을 풀어본 후 재밌어서 하나 더 풀게 되었다. 이번 문제도 네트워크 패킷 캡쳐 파일을 증거로 제공 해 주며 질/답 형식의 문제이다. 이번 문제에서는 패킷에서 파일을 추출하는 것이 아닌 일반 문서에 첨부되어 있는 이미지를 추출하는 것이 주 목적이었다고 생각 된다.(물론 SMTP 패킷 분석도 주 목적이었다고 생각 된다.) 문제 : http://forensicscontest.com/2009/10/10/puzzle-2-ann-skips-bail 이제부터 각 질문에 대한 답변을 달아보도록 하겠다. Q1. What is Ann’s email address? - Ann's의 이메일 주소는 무엇인가? A1. sneakyg33k@aol.com 이 질문에 대한 답변을 하기 위해서 SMTP 패킷을 분석해도 좋지만 더 .. 더보기

티스토리툴바