본문 바로가기

[+] Forensic

Windows 8 Forensic Artifact - (2)

Windows 8에서는 사용자가 여러가지 웹 서비스를 이용 할 수 있도록 Communication 앱을 기본적으로 제공하는데 이 앱은 포렌식 관점에서 여러모로 유용한 정보들을 저장하고 있다. 사용자의 행위와 가장 밀접한 정보들을 저장하고 있다. 여러가지 SNS를 사용 할 수 있도록 동기화 기능을 제공하고 있으며 메일, 채팅 등의 기능도 제공하고 있다. Communication 앱의 기본 경로는 다음과 같다.


 - %SystemRoot%\Users\%username\AppData\Local\Packages\Microsoft.windowscommunicationsapps_8weky3d8bbwe\


[그림 1 - FaceBook 동기화]


Communication 앱의 포렌식 관점에서의 정보는 다음과 같은 경로들에서 얻을 수 있다.


 - AC\InetCache : 각 서비스에서 보여진 이미지(사용자의 프로필 사진, 친구들 사진, 확인한 사진 등)들이 저장되어 있다.



[그림 2 - Web Cache]


 - AC\InetCookie : 해당 앱의 쿠키 정보가 저장되어 있다.


 - AC\Microsoft\CryptnetURLCache\Content : 해당 앱이 각 서비스에 인증 할 때 사용한 인증 정보들을 저장하고 있다. 


 - AC\Microsoft\Internet Explorer\DOMStore\%History Folder%\microsoft[#].xml : 피플 메인 화면에 새소식에 관한 디렉토리로 여러가지 개인 정보를 저장하고 있는 데이터가 저장되어 있다.



[그림 3 - 새 소식]


 - LocalState\Indexed\LiveComm\%userEmail%\%AppCurrentVersion%\Mail : Email주소, 집주소, 핸드폰 번호 등 개인정보를 저장 할 수 있다.(만약 그러한 정보가 해당 앱을 통해 보여지거나 검색되었다면)


위 정보는 간단히 Text 형태로 읽을 수 있어 간단한 파싱 도구를 제작 해 파싱을 하여 데이터를 추출하여도 좋고 일반 hex Editor로 분석해도 무방하다.


 - Setting\setting.dat : 해당 파일은 레지스트리 파일로 앱의 설정 내용을 저장하고 있다.