221116 송보연
1. 운영체제 (Operating System = OS) 란?
: 사용자의 하드웨어, 시스템 리소스를 제어하고 프로그램에 대한 일반적 서비스를 지원하는 시스템 소프트웨어다. 시스템 하드웨어를 관리할 뿐 아니라 응용 소프트웨어를 실행하기 위해 하드웨어 추상화 플랫폼과 공통 시스템 서비스를 제공한다. 최근에는 가상화 기술에 힘입어 가상머신 위에서 실행되기도 한다. 대표적인 OS로는, 우리가 흔히 사용하는 Windows와, 솔라리스, 리눅스, 아미가 OS같은 유닉스 계열 운영체제들이 있다.
우분투( 리눅스의 데스크톱 배포판)
안드로이드 ( 리눅스 커널을 이용하는 대중적인 모바일 운영체제)
2. 윈도우의 아티팩트 분석방법
1) 윈도우란?
: 마이크로소프트가 개발한 컴퓨터 운영체제이다. 당시 널리 쓰이던 MS-DOS에서 멀티태스킹과 GUI환경을 제공하기 위한 응용프로그램으로 처음 출시 되었다.
2) 아티팩트란?
: 디지털 포렌식에서 아티팩트의 의미는 운영체제나 애플리케이션을 사용하면서 생성되는 흔적을 말한다.
3) 윈도우 아티팩트 요소
: 윈도우 아티팩트란, 윈도우가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소들로부터 찾을 수 있는 여러가지 정보를 뜻한다.
==> 파일 시스템 아티팩트 / 웹 아티팩트 / 이벤트 로그 / 프리패치와 슈퍼패치 / 바로가기 숏컷 / 시스템 복원지점 / 휴지통 / 시스템 로그 / 시스템 임시파일 / 미리보기 썸네일 / 윈도우 검색 DB / 기타 아티팩트
등등의 윈도우 아티팩트 요소가 있지만 중요한 몇가지만 살펴보려고 한다.
-> 파일 시스템 아티팩트
: NTFS의 경우 시스템 메타 데이터를 또 다른 파일 형태로 관리해서 아티팩트 분석시에 이를 같이 추출하여 분석하기에 용이하고, 시간 흐름에 따른 팰의 상태 등와 같은 정보를 제공해서 시스템 분석에 도움을 준다.
-> 웹 아티팩트
: 웹 히스토리, 웹 캐시, 웹 쿠키, 다운로드 파일 등을 통해서 웹의 사용내역을 조사한다. / 익스플로어, 크롬, 사파리, 파이어폭스, 오페라 (5대 브라우저) 중 익스플로어를 제외한 브라우저는 모바일에서도 비슷한 흔적을 남긴다.
-> 이벤트 로그
: 윈도우의 특정 동작에 관한 내용을 기옥하는 바이너리 로그 어플리케이션이다. 사용자의 행위보다는 시스템의 운용상태를 알 수 있는 정보를 포함한다. 이는 침해사고 대응에 더 유용하게 작용할 수 있다.
-> 프리패치/슈퍼패치
: 주기억장치와 보조장치의 입출력 속도 차이에 따른 시스템 부하를 최대한 극복하기위해 자주 사용되는 응용프로그램을 미리 메모리에 로드하기위해서 사용되는 윈도우 시스템의 요소 중 하나이다. / 프리패치 본연의 역할을 수행하기 위해 실행파일에 대한 다양한 정보를 내부에 기록해두고 있으며, 실행파일의 사용흔적을 조사할 때 프리패치에 기록된 내용은 반드시 살펴볼 필요가 있다.
-> 시스템 로그
: 윈도우 시스템에서 간단한 로그는 txt형태로 기록하는데, 시스템 로그의 경우 시스템 설치 시점부터 지속적으로 발생하는 여러 동작을을 기록하기 때문에 다른 아티팩트와 교차분석하여 결과의 신로도를 높일 수 있는 도움을 줄 수 있다. / 시스템로그에서 기록하는 정보를 미리 파악해 두면, 분석에 도움을 받을 수 있다.
3. 브라우저 별 아티팩트 분석
※ 포렌식 조사를 위해서 주로 확인하는 정보는 웹 캐시, 웹 히스토리, 웹 다운로드 목록, 웹 쿠키 등이 있다. 이들은 대부분 방문한 URL흔적과 송수신된 인자를 분석해 검색어 등을 찾는데 이용된다. 다음에선 브라우저 별 이 웹 캐시, 웹 히스토리, 웹 다운로드 목록, 웹 쿠키 등에 대해서 살펴보려고 한다.
1) Chrome(크롬)
- 구글이 개발한 크로미엄 오픈 소스를 기반으로 만들어진 웹 브라우저- 전 세계에서 사용자들이 가장 많이 사용하는 인터넷 브라우저이다.
2) Internet Exploler(인터넷익스플로러)
- 마이크로소프트에서 개발한 웹 브라우저다. 윈도우 10용과 윈도우 서버 2019용은 2022년 6월 15일에 서비스 종료되었다.
- Index.dat 이라는 로그 파일 구조를 가지고 있고 이 로그 파일은 Header, Hash Tables, Activity Record Type으로 구성되어 있다.
3) Safari(사파리)
- 사파리는 애플이 개발한 웹 브라우저로, 매킨토시나 아이폰, 아이패드 등 애플디바이스에서 만 최신버전이 사용가능하다
+) 오페라, 마이크로 소프트 엣지 등의 브라우저가 존재
'Security Study > SWUFORCE' 카테고리의 다른 글
| [디포전] 1주차 (0) | 2022.11.24 |
|---|---|
| [디포전] 디지털 포렌식 전문가 2급 필기 - 1과목 1편(1~2장) (0) | 2022.11.24 |
| [기술보고서] 안랩 ASEC 리포트 vol.108 (1) | 2022.11.22 |
| [기술보고서] 칩페이크란 무엇일까요? + 비대면 환경에서 성장하는 칩페이크 (0) | 2022.11.11 |
| [웹] 1주차 - 웹 아티팩트의 종류별 특징 & 분석방법 파악 (0) | 2022.11.09 |
