윈도우 아티팩트

Artifact

사전적 - 인공물, 유물

포렌식 - 생성되는 흔적(생성증거 or 보관증거)

생성증거 

- 프로세스, 시스템에서 자동으로 생성한 데이터

보관 증거

- 사람이 기록하기 위해 작성한 데이터, 사상이나 감정등을 기록하기도 함

---

윈도우 아티팩트

윈도우가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소들 (주로 파일이나 레지스트리)로 부터 찾을 수 있는 여러가지 정보를 말한다.

> 시간과 날짜
 - 메인보드의 시간측정 하드웨어 RTC(real-time clock) 예전에는 별도의 장치로 분리되어 있었지만 최근에는 사우스 브리지(south bridge)칩에 내장됨

 - 주파수를 통해 정기적으로(일정한 간격으로) 받는 전기적 신호를 계산해서 날짜와 시간을 계산한다. (크리스탈 오실레이터, quartz시계에 사용되는 것)

 - 컴퓨터가 꺼진 이후에도 메인보드의 리튬 베터리나 슈퍼캐패시터(?) 를 통해 계속 전원을 공급받아 외부 전원의 도움이 없어도 시간을 기록할 수 있다.

> 시스템 시간

 - RTC에 의존하는 방식이 아닌 소프트웨어 적인 방법으로 시스템 시간을 유지하는 것

> 표준 시간대 

 - UTC(Coordinated Universal Time)

---

> 윈도우 아티팩트

 - 파일 시스템 아티팩트

 - 웹 아티팩트

 - 이벤트 로그

 - 프리패치 / 슈퍼패치

 - 바로가기 숏컷

 - (점프리스트)

 - 시스템 복원지점

 - 휴지통 

 - 시스템 로그

 - 시스템 임시파일

 - 미리보기 썸네일

 - 윈도우 검색 데이터베이스

 - 기타 아티팩트 (스티커메모, 프린터 스풀링 파일)

※ 파일 시스템 아티팩트 ※

 - NTFS의 경우 시스템 메타 데이터를 또 다른 파일 형태로 관리, 아티팩트 분석시 같이 추출하여 분석하기에 용이

 - 시간 흐름에 따른 파일의 상태 등과 같은 정보를 제공하여 시스템 분석에 도움을 준다.

 - 분석 대상 시스템이 NTFS 일 경우, 관련 아티팩트를 수집하고 분석하자.

※ 웹 아티팩트 ※

 - 웹 히스토리, 웹 캐시, 웹 쿠키, 다운로드 파일 등을 통한 웹 사용 내역 조사.

 - 5대 브라우저(익스플로러, 크롬, 사파리, 파이어폭스,오페라) 중 익스플로러를 제외한 브라우저는 모바일에서도 비슷한 흔적을 남기는것을 참고

※ 이벤트 로그 ※

 - 윈도우의 특정 동작에 관한 내용을 기록하는 바이너리 로그 어플리케이션

 - 사용자의 행위보다는 시스템의 운용상태를 알 수 있는 정보를 포함한다. (침해사고 대응에 더 유용하다)

 - 운영체제 설정에 따라 사용자의 기본적인 시스템 운용까지도 파악할 수 있는 로그를 기록한다.

※ 프리패치 / 슈퍼패치 ※ (windows\prefatch )

 - 보조장치와 주기억장치의 I/O 속도 차이에 따른 시스템 부하를 최대한 극복하고자 자주 사용되는 응용프로그램을 미리 메모리에 로드하기 위해 사용된 윈도우 시스템의 요소

 - 프리패치 본연의 역할을 수행하기 위해 실행파일에 대한 다양한 정보를 내부에 기록해 두고 있다.

 - 실행파일의 사용 흔적을 조사할 때 프리패치에 기록된 내용은 반드시 살펴볼 필요가 있다. (참고: http://kali-km.tistory.com/entry/Prefetch-Format  )

※ 바로가기 숏컷 ※

 - 사용자 편의를 위해 사용하기도 하지만, 운영체제가 자동 실행이나 최근 접근한 데이터에 관한 정보를 관리할 때에 사용하기도 한다.

 - 바로가기 파일에는 링크 대상 파일에 관한 생성, 접근, 수정시간 정보 및 원본 위치 등에 관한 기록을 포함하고 있으므로, 정보 유출에 관한 조사나 시스템 사용에 관한 시간 관계를 정리할 때 유용하게 사용된다. 

※ 점프리스트 ※ ( %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent )

 - win7 부터 추가된 기능, 전용포멧 CustomDestinations파일과 컴파운드 파일 포멧 automaticDestination-ms파일이 각각 존재.

 - 전용 도구와 컴파운드 뷰어를 활용하여 분석가능하다.

※ 시스템 복원 지점 ※

 - 특정 시점으로 시스템의 상태를 돌리기 위해 사용

 - 각 시스템의 상태를 기록, 각종 아티팩트나 주요 파일을 같이 저장해 두고 있어, 과거 시점의 시스템설정 상태 등을 조사할 때 매우 유용하다.

 - 크기가 크고 조사 대상의 내용이 비 효율적으로 많아 최후까지 분석이 미뤄지는 경우가 많다.  but 시스템 복원지점에 있는 데이터에 의한 해결도 가능!!

※ 휴지통 ※

 - 사용자 삭제 파일이나 은닉을 목적으로 이동된 데이터가 존재한다. 

 - 휴지통 폴더 내부에 간단한 형태로 삭제된 파일에 관한 정보를 기록.

 - 삭제된 파일의 삭제 시점과 같은 중요 정보를 파악 가능, 정보 파일에 기록되지 않은 파일은 의도적인 은닉파일 이라고 간주 할 수도 있다.

※ 시스템 로그 ※

 - 윈도우 시스템에서 간단한 로그는 txt형태로 기록하는데 시스템 로그의 경우 시스템 설치 시점부터 지속적으로 발생하는 여러 동작들을 기록하므로 다른 아티팩트와 교차 분석하여 결과의 신뢰도를 높일 수 있는 도움을 줄 수 있다.

 - 시스템 로그에서 기록하는 정보를 미리 파악해 두어 분석에 도움을 받을 수 있다.

※ 시스템 임시파일 ※

 - 임시파일의 흔적을 통해 사용한 어플리케이션의 사용 기록을 입증할 수 있는 단서가 될 수 있다.

 - 임시 폴더가 직접 접근 되지 않는 폴더라는 속성을 악용해, 데이터를 은닉하기 위한 목적으로도 사용된다. (임시폴더 간단확인 필요!!)

※ 미리보기 썸네일 ※ (%UserProfile%\AppDate\Local\Microsoft\Windows\Explore)

 - 썸네일은 윈도우 미디어 파일에 대한 미리보기 데이터베이스 파일을 의미한다. 

 - 원본 파일이 삭제되더라도 썸네일 데이터베이스 내부의 미리보기 파일은 삭제되지 않고 존재할 가능성이 크다.

 - 원본 파일의 존재 가능성을 입증해 줄 수 있다.

※ 윈도우 검색 데이터베이스 ※

 - 윈도우 검색에 사용하기 위한 색인 정보를 저장, 빠른 검색을 위해 색인한 결과를 저장

 - 사용자의 기본 폴더나 이메일, 인터넷 히스토리 정보등이 기록되는 경우가 있다.

※ 기타 아티팩트 ※

 - 스티커 메모, 프린트 스풀링 파일....등

 - 분석에 도움을 주는 모든 정보에 관련된 데이터는 시스템 아티팩트로 취급될 필요가 있다.

---

 - 물리 메모리, 가상 메모리

 - 파일 시스템과 폴더 구조

 - 레지스트리

 - 프리/슈퍼패치

 - 캐시(썸네일,아이콘)

 - 이벤트 로그

 - 웹 브라우저 사용 흔적 ( +Edge브라우저) 

 - 휴지통

 - 링크 파일

 - 볼륨 섀도 복사본

 + 알림(Notification)

 + 윈도우 스토어 (앱스토어)