안녕하세요. 도깬리 포렌식스 입니다.
오늘은 윈도우 포렌식 최고의 분석 아이템 중에 하나이죠. 윈도우 바로가기 파일(Windows Shortcuts), 즉 링크 파일(Link Files)에 대해 알아 보겠습니다. 어떤 유형의 사건이든 링크 파일 분석은 필수입니다. 자, 시작해볼까요?
바로가기 파일 (Windows Shortcuts, Link Files)
사용자의 Desktop, Recent, Start Menu, Send To 폴더에 존재하는 바로가기 형태의 파일입니다.
바로가기 파일은 어플리케이션, 폴더, 파일, 프린터, 외장 드라이브를 가리키는 데이터입니다.
Desktop(바탕화면)에 존재하는 링크 파일
사용자가 특정한 파일이나 어플리케이션이 컴퓨터에 존재하고 있음을 알고 있었다는 의미를 갖습니다.
Start Menu(시작메뉴)에 존재하는 링크 파일
링크파일의 시간정보로 어플리케이션이 설치된 날짜를 추정할 수도 있습니다.
기본적으로 15개의 링크 파일이 존재합니다.
Recent(최근 문서)에 존재하는 링크 파일
컴퓨터에서 열었던 문서파일을 의미합니다.
\AppData\Roaming\Microsoft\Windows\Recents
기본적으로 15개 이상의 링크 파일이 존재합니다.
분석시 착안사항
최근에 열었던 데이터 파일의 실체를 파악할 수 있습니다.
원본 파일명과 완전한 경로명을 포함하고 있으므로 링크 파일을 통해 어떤 특정일에 컴퓨터가 어떻게 설정되었는지 조사할 수 있습니다.
과거에 연결된 외장하드드라이브 등을 확인할 수 있습니다.
원본 파일에 대한 시간정보(생성일시, 수정일시, 접근일시)도 확인할 수 있습니다.
링크 파일 자체의 시간정보와 원본 파일에 대한 시간정보를 조합하여 다양한 해석이 가능합니다.
원본 파일이 저장되어 있었던 볼륨의 드라이브 문자와 볼륨 레이블, 볼륨 시리얼넘버, 원본 파일에 대한 완전한 경로명이 텍스트 및 유니코드로 저장되어 있어, 이를 근거로 특정 정보의 출처를 확인할 수 있습니다.
볼륨 시리얼 넘버(Volume Serial Number) : 볼륨이 포맷될 때 포맷되는 날짜와 시간 및 기타 요소들을 기반으로 하여 생성되는 고유의 값을 말합니다.
링크 파일 내부에서 볼륨 시리얼 넘버 찾기 : ASCII 형식으로 된 경로와 파일명 앞의 0x10을 기점으로 역으로 4바이트 값을 추출할 수 있습니다.
링크 파일을 통해 원본 파일의 무엇을 알 수 있는가?
원본파일이 존재하였던 컴퓨터의 이름
원본파일이 존재하였던 볼륨 시리얼번호
원본파일이 존재하였던 볼륨의 드라이브 문자
원본파일이 존재하였던 볼륨의 드라이브 유형
원본파일이 존재하였던 원래의 경로
원본파일이 존재하였던 시스템의 MAC address (일부 데이터만 해당, 오탐 주의할 것)
원본파일의 생성, 수정, 접근 시간정보
Last Accessed Time 이 기록되어 있으면 해당 볼륨은 NTFS로 판단 가능합니다.
[Evidence Processor] -> [Windows Artifact Parser]
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : EnCase Computer Forensics (2)
'EnCase' 카테고리의 다른 글
[EnCase] 이메일 분석 (Email Analysis) (0) | 2022.04.25 |
---|---|
[EnCase] 컨디션 (Condition) 기능 (0) | 2022.04.23 |
[EnCase] 윈도우 시스템 파일과 폴더 분석 (0) | 2022.04.19 |
[EnCase] 윈도우 사용자 데이터 (User Data) 분석 (3) (0) | 2022.04.14 |
[EnCase] 윈도우 사용자 데이터 (User Data) 분석 (2) (0) | 2022.04.10 |