by
Oct 08. 2022
Windows 포렌식 도구 소개 및 실습
Windows 운영체제는 빠른 속도를 위해, 에러를 고치기 위해, 실행 환경 저장, 보안 감사를 위해 여러 파일들을 생성하고 기록한다. 문제는 이러한 아티팩트가 동일한 구조가 아니고 텍스트 파일이 아니기 때문에 메모장으로 확인이 불가능하다. 전용 tool이 필요한데 신뢰할만한 tool을 사용해야만 한다. 무료 tool의 경우 개발자가 업데이트를 멈춘 case도 많다. MS(마이크로소프트)는 지속적으로 업데이트를 하는데 tool은 그대로 이기 때문에 버그도 많이 발생하고 보여주지 못하는 항목도 존재한다. 또한 삭제된 데이터를 복구할 수 있는 경우도 있는데 이것또한 tool마다 기능이 모두 다르다.
이번 글에서는 Windows 환경에서의 신뢰할만한 tool을 소개하고 직접 사용하여 그 결과를 보여주려고 한다.
tool은 다음의 링크를 참조했다. 보안에서 필요한 핵심정보를 잘 요약한 사이트이다.
https://infosec.house/docs/defensive-security/forensics
분석할 이미지는 다음과 같다.
https://cfreds.nist.gov/all/NIST/DataLeakageCase
각 링크를 클릭한 뒤 다른 이름으로 링크 저장을 클릭하면 파일로 다운받을 수 있다.
해당 파일은 디스크 이미지인데 디스크 이미지란 하드디스크 전체를 copy한 파일이다. 일반적으로 압축하거나 안 쓰는 영역이 있기 때문에 4TB이더라도 이미지 파일로 만들면 그 크기가 매우 작아진다. 이미징 방법은 장비에 이미지로 만들 하드디스크와 그 이미지를 저장할 하드디스크를 연결한 뒤 장비를 통해 복제하면 된다.
이미지 파일을 컴퓨터에서 열어보려면 프로그램이 필요하다.
보통 FTK Imager를 쓰지만 여기서는 Arsenal Image Mounter를 사용한다. 무료버전으로도 분석이 가능하므로 다운받고 무료버전으로 실행한다. 다운로드 후 추가설치가 필요할 수 있다.
https://arsenalrecon.com/downloads/
Mount disk image 버튼을 클릭 한 뒤 다운로드한 이미지를 마운트해준다.
중요 아티팩트를 일일이 찾아서 추출하거나 스크립트를 작성해서 자동화해야한다. 번거로우므로 여기서도 tool을 이용한다.
https://www.kroll.com/en/services/cyber-risk/incident-response-litigation-support/kroll-artifact-parser-extractor-kape
여기에 개인정보를 대충 작성하고 나의 본 메일을 넣어주면 다운로드 링크가 메일로 온다.
압축을 풀고 gkape.exe 파일을 실행한다.
마운트 경로를 잡아주고 아티팩트를 추출했을 때 저장할 경로를 지정해준다.
지금은 G:\에 이미지가 마운트되었다. Target source에 드라이브 경로를 잡아주고 Target destination에 저장할 폴더를 설정한다. 이후 우측하단의 Execute 버튼을 실행하면 추출이 완료된다.
간단한 분석을 위해 몇가지만 체크한다.
$MFT $J $LogFile Chrome EventLogs를 체크한다.
다음과 같이 파일이 추출된다.
가장 먼저 크롬 아티팩트를 확인한다.
https://www.nirsoft.net/utils/chrome_history_view.html
chromehistoryview를 통해 분석한다.
option-> Advanced Options 을 통해 추출한 경로를 설정한다.
다음과 같이 분석한 내용을 볼 수 있다.
하나만 분석하면 아쉬우니 $MFT도 분석해본다. 이것저것 도구를 사용한 결과 다 문제점이 있었다. 개인적으로 mft2csv도구가 가장 버그 없이 모든 파일들을 추출했던 것으로 기억한다.
https://github.com/jschicht/Mft2Csv/releases/tag/v2.0.0.46
