본문 바로가기

[+] Forensic

Windows 8 Forensic Artifact - (1)

Windows 8은 Windows 7을 대체할 새로운 OS로 현재(2012. 6)까지는 개발중이며 프리뷰 버전이 공개 된 상태이다. 하지만 Windows 8은 Desktop PC 용으로 개발되었다기 보다는 요즘 추세인 스마트기기에 탑재하기 위해 개발되었다고 볼 수 있다. 주 목적은 태블릿 PC나 Windows Phone 탑재이지만 Desktop PC도 지원을 해야 하기에 Matro UI 말고 기존의 Desktop 환경도 지원한다. Windows 8은 현재까지 알려진 Windows 8에서 새롭게 추가 된 기능들은 다음과 같다.


 - 매트로 UI 및 시작 화면 : Windows 8은 기존 Desktop 환경 말고 Matro UI라는 새로운 GUI를 추가하였으며, 사용자 편의대로 두 GUI 환경을 스위칭 할 수 있도록 기능을 지원한다. 또 Windows 7 까지의 로그인 화면등의 시작화면과는 다른 스마트기기에 적합한 시작화면과 로그인 화면등을 제공한다.


[그림 1 - Matro UI]



[그림 2 - Desktop 환경]


 * 참고 : 기존의 Windows 버전들과 달라보이지 않겠지만 시작표시줄의 시작버튼이 존재하지 않는 것이 Windows 8의 특징이다. 일반 버전에는 존재하지 않지만 개발자 버전에는 시작 버튼이 존재한다.


 - 로그인 방법 3가지 : 현재까지 사용되고 있는 ID/PW 방법을 제외하고 2가지 방법을 제공하는데 그림을 그려서 로그인하는 방식인 사진암호 로그인 방식과 PIN Sign을 이용해 로그인하는 PIN 로그인 방식이 있다.

윈도 탐색기의 리본 인터페이스: 윈도 탐색기는 이제 마이크로소프트 오피스 제품군의 응용 프로그램들에서 쓰였던 것과 비슷한 리본 인터페이스를 이용한다.

 - 네이티브 USB 3.0 지원 : 공식적으로 Windows 8에서 USB 3.0을 지원한다.

 - 윈도 스토어 : 기존의 안드로이드의 마켓이나 애플의 앱스토어와 같이 앱을 구입/판매 할 수 있는 기능의 장터를 말한다. 이 스토어를 통해 Windows 8에서 사용 할 앱을 구매하고 다운로드 할 수 있다.

 - 윈도 투 고 : Windows 8의 전체 시스템이 플래시 드라이브나 USB 드라이브 등 외부 드라이브에서 실행 될 수 있도록 하는 기능이다. 

 - 복원 기능 : 개발자 버전에서 지원되는 기능으로 새로고침 기능과 초기화 기능으로 나뉜다. 새로고침 기능은 사용자가 설정한 설정파일과 설치 된 프로그램들의 변경 사항을 모두 원래 상태로 되돌리는 기능을 말하며, 초기화 기능은 윈도의 설치 과정에서 라이센스 인증 부분과 하드디스크 포맷 과정을 생략하고  Windows 8을 설치하는 기능을 말한다.

 - 윈도 라이브 ID 통합 : 로컬 컴퓨터 시스템의 사용자 계정을 Windows Live ID와 통합하여 사용 할 수 있게끔 하는 기능이다.

 - 새로운 바로가기 : Matro UI에서 지원하는 기능으로 Mac OS X의 Dork과 같은 형태의 바로가기를 제공한다.


[그림 3 - 새로운 바로가기]


[Local Folder]

해당 디렉토리는 이전 Windows 버전에도 있는 디렉토리이다. 여러가지 정보를 담고 있는데 대표적으로 인터넷 브라우저의 여러가지 설정 파일이나 기록등이 저장되어 있는 디렉토리이다.


 - %SystemRoot%\Users\%username%\AppData\Local\


해당 디렉토리에서 얻을 수 있는 정보들은 다음과 같으며 Matro UI 정보도 포함되어 있어 기존 Windows 버전들보다 얻어지는 정보들이 조금 더 많다.


 - Microsoft\Windows\Application Shortcuts : Metro UI에서 볼 수 있는 각 앱들의 목록을 확인 할 수 있다. 각 앱 별로 디렉토리가 있고 그 안에 디렉토리이름의 파일이 존재한다. 해당 파일을 확인하면 앱 제작자, 설치 경로등을 알 수 있다.


 - Microsoft\InternetExplorer\Recvoery\Immersive\Active(또는 Microsoft\InternetExplorer\Recvoery\Immersive\Last Active) : IE10 사용 시 방문했던 웹 사이트 목록을 확인 할 수 있다.


 - Microsoft\Windows\Caches : Desktop에 고정된 앱 목록을 확인 할 수 있다.


 - Microsoft\Windows\RoamingTitles : 사용자가 추가한 웹사이트 즐겨찾기 목록을 확인 할 수 있다.


 - Microsoft\Journal\Cache\msnb.dat : 사용자가 생성한 Journal Notes의 기록과 경로를 확인 할 수 있다.


 - Microsoft\Windows\Temporary Internet Files : 인터넷 임시 파일 저장 디렉토리이다.


 - Microsoft\Windows\History : 일반적인 IE를 사용했던 기록들을 확인 할 수 있다.


 - Microsoft\Windows\Temporary Internet Files\Virtualized\Local Disk\Users\%username%\AppData : IE를 Protected Mode로 실행 하여 사용 할 시 생성되는 임시파일들을 확인 할 수 있다.


 - Microsoft\Windows\WinX : Command Prompt, Run과 같은 링크 파일들을 확인 할 수 있다.


 - Microsoft\Windows\Windows Sidebar\Cache\168522d5-1082-4df2-b2f6-9185c31f9472 : 위치 주소 등의 정보가 저장되어 있는 XML 파일이 있다.


 - Packages\%MetroAppName%\AC\INetCache : Matro 앱이 사용하는 Web Cache를 확인 할 수 있다.


 - Packages\%MetroAppName%\AC\INetCookie : Matro 앱의 Web Cookie를 확인 할 수 있다.


 - Packages\%MetroAppName%\AC\INetHistory : Matro 앱의 Web History를 확인 할 수 있다.


 - Packages\%MetroAppName%\AC\LocalState : Matro 앱의 설정 정보들을 확인 할 수 있다.