[EnCase] 윈도우 사용자 데이터 (User Data) 분석 (1)

안녕하세요. 도깬리 포렌식스 입니다.

오늘부터는 윈도우 시스템의 주요 아티팩츠(Artifacts)를 살펴 보도록 하겠습니다. 아티팩츠는 '흔적'이라고 표현하는 것이 가장 적절합니다. 범인의 활동 흔적을 '포렌식 아티팩츠 (Forensic Artifacts)'라고 말할 수 있습니다. 시작해볼까요?

 

윈도우 시스템에서의 사용자 파일 및 폴더

사용자 프로필 폴더의 생성 위치

Windows XP

\Documents and Settings\

 

Windows 7 이후

\Users\

 

ProgramData 폴더

숨겨진 폴더입니다.

프로그램 설치시, ‘모든’ 사용자가 사용할 수 있도록 설치하게 되면, 여기에 프로그램이 저장됩니다.

 

Public 폴더

디폴트 사용자 프로필이 존재합니다.

시스템상의 모든 사용자들이 접근 가능한 데이터는 여기에 저장됩니다.

 

 

NTUSER.DAT

사용자 계정에 해당하는 레지스트리 하이브입니다.

사용자가 로그아웃 할 때 운영체제에 의해 업데이트됩니다.

NTUSER.DAT의 마지막 수정시각은 사용자가 마지막으로 로그아웃한 시간을 의미합니다.

 

 

Application Data

AppData 폴더

Windows 7의 폴더 구조가 Windows XP의 폴더 구조와 가장 큰 차이점은 Roaming profiles와 folder redirection 입니다.

Local, LocalLow, Roaming 폴더가 존재합니다.

 

Local, LocalLow 폴더

계정간에 로그인 하더라도 컴퓨터 간에 동기화 되지 않는 데이터는 여기에 저장됩니다.

즉, 동기화하기에는 너무 용량이 크거나, 특정한 컴퓨터에 관련된 것일 경우에는 여기에 데이터가 저장됩니다.

MS의 ‘보호모드’에 의하여 각 사용자별 프로필 아래에는 ‘low’ 폴더가 존재합니다.

권한 등급이 낮을 때도 사용할 수 있는 데이터는 여기에 저장됩니다.

즉 보안위협이 큰 IE와 같은 경우, 권한 등급이 Low로 설정되어 있고, 이러한 프로그램은 로그와 같은 것을 임시로 저장해야 하는 경우가 많으므로, 관련 데이터는 여기에 저장됩니다.

윈도우 XP에서 이에 해당하는 폴더는 \Local Settings\Application Data이었습니다.

 

Roaming 폴더

어느 컴퓨터에서든 자신의 계정으로 로그인할 경우, 이전에 사용했던 환경이 현재의 컴퓨터에 동기화되어, 필요한 경우 관련 데이터가 여기에 저장됩니다.

Recent, SendTo, Cookies, Templates, PrintHood, NetHood, Start Menu 등이 있음

 

 

 

감사합니다. 오늘도 즐거운 하루되세요

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Computer Forensics (2)