[EnCase] 인쇄의 흔적 (Print Spooling) 분석

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 프린터 인쇄의 흔적에 대해서 알아 봅시다. 프린터 관련 분석은 크게 프린터 설치와 사용의 흔적, 인쇄된 자료에 관한 흔적을 대상으로 합니다. 인쇄 스플링 파일을 분석하면 인쇄된 자료(정확히는 인쇄를 시도한 자료)를 확인할 수 있습니다.

 

인쇄 스풀러 구성요소

인쇄 스플링(Print Spooling)

인쇄될 데이터와 인쇄 작업을 완료하기 위한 충분한 정보를 포함하는 임시 파일을 생성하는 과정을 말합니다.

 

Spooling

인쇄 작업 내용을 디스크의 파일에 쓰는 과정을 의미합니다.

이것은 원래 전원이 갑자기 중단되거나 시스템의 오류 발생시, 데이터의 손실을 방지하기 위한 것입니다.

 

Despooling

스풀 파일의 내용을 읽고, 이를 지정된 프린터로 보내는 과정을 의미합니다.

 

프린터에서 생성할 수 있는 데이터의 종류

RAW 데이터

데이터가 있는 그대로 인쇄됩니다.

보통 이 경우, RAW 데이터는 인쇄하는 프린터에서 설정한 포맷으로 저장됩니다.

 

EMF(Enhanced Metafile Format) 파일

프린터의 종류에 상관 없이 인쇄될 수 있게 합니다.

일반적으로 네트워크 프린터에서 주로 이용됩니다.

 

.SPL 파일과 .SHD 파일 

RAW 포맷이든 EMF 포맷이든 .SPL, .SHD 파일이 각각의 인쇄 작업으로 인해 생성됩니다.

.SPL, .SHD 파일은 해당 인쇄 작업이 완료된 이후에는 기본적으로 삭제됩니다. (물론, 설정을 바꾸어 삭제되지 않고 계속 저장되도록 할 수도 있음)

네트워크 프린터의 경우, .SPL, .SHD 파일이 컴퓨터, 프린터 서버, 프린터에서도 발견될 수 있으며, 네트워크 설정이나 프린터 서버 및 OS의 환경설정에 따라 달라질 수 있습니다.

.SPL, .SHD 파일은 비할당 영역, 스왑 파일 등에서도 발견되기도 합니다.

 

분석에 있어서 spool files의 존재 의미

혐의자가 실제로 인쇄하였는지를 증명할 수는 없으나, 해당 데이터를 인쇄할 의도가 있었다는 정도는 확인 가능합니다.

 

 

SHD 파일

Shadow file 이라고 합니다.

인쇄 작업에 대한 정보를 보관하는 파일입니다.

-인쇄할 사용자의 프로필 이름

-인쇄할 사용자의 SID

-인쇄할 프린터 드라이브 정보

-인쇄할 호스트 어플리케이션

-인쇄할 파일의 이름

-인쇄방법 : RAW 또는 EMF

 

SPL 파일

.RAW 포맷으로 저장된 .SPL 파일입니다.

인쇄될 데이터가 저장되어 있습니다.

 

.EMF 포맷으로 저장된 .SPL 파일

인쇄될 파일의 이름, 인쇄 방법(EMF/RAW), 인쇄될 데이터가 저장되어 있습니다.

각 SPL 파일 안에 하나 이상의 EMF 파일이 임베디드 되어 있습니다.

인쇄된 페이지당 하나의 EMF가 존재합니다.

 

EMF 포맷이 실제로 시작되는 지점 찾는 방법

EMF 문자 바로 앞에 있는 바이트를 기점으로 역순으로 41바이트를 하이라이트 한 후, Decode 탭에서 사진을 확인합니다. 

 

EMF 헤더

Windows 7 : 0x010000008400

Windows XP : 0x010000005A01

 

Spool 파일의 위치

system32\spool\printers

 

 

비할당영역에서 EMF 파일에 대한 Grep 검색

Grep 표현식 : \x01\x00\x00\x00.{36,36}\x20EMF

 

 

EP의 File Carver를 이용하여 EMF 파일 찾기

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

출처 : EnCase Computer Forensics (2)