[FTK] 윈도우 7의 새로운 기능들

안녕하세요. 도깬리 포렌식스 입니다.

 

약 7개월간의 EnCase를 이용한 윈도우 포렌식 연재를 마치고, 금일 부터는 FTK를 이용한 윈도우 포렌식을 시작합니다. 윈도우 7 기반으로 연재를 진행합니다. 윈도우 10 이후의 아티팩트는 차후 별도로 연재를 할 예정입니다. FTK의 사용법 보다는 주로 AD Registry Viewer를 이용한 윈도우 아티팩트 분석 중심으로 시리즈를 진행하겠습니다. 참고문서는 AD Windows Forensics (Win7) 입니다. 시작하겠습니다.

 

Windows 7 Desktop 새로이 등장한 기능

Jump Lists

Aero

 

 

Key Version Features

Windows 7 Starter

최대 동시에 3개의 사용자 프로그램만 구동 가능합니다.

Windows 7 Home Basic

Windows 7 Home Premium

Windows 7 Professional

Windows Enterprise & Ultimate

라이선스 정책만 다를 뿐, 기능 동일합니다.

Windows 7 Enterprise

기업에만 판매됩니다.

BitLocker Drive Encryption 기능이 포함됩니다.

Windows 7 Ultimate

기능은 Enterprise 급과 동일하나, 개인에게 판매됩니다.

BitLocker Drive Encryption 기능은 Enterprise와 Ultimate 버전에서만 동작합니다.

 

Windows 7 Edition Comparison Chart 

 

 

Unchanged System Artifacts

Windows 7은 기본적으로 Windows Vista와 거의 동일하고, 가장 주된 변경사항은 Kernel 부분입니다.

Windows 7에서도 여전히 유효한 중요 데이터는

EFS

Shadow Copy

Thumbcache

Core system-created registry files

File system

 

Unchanged User Artifacts

Registry

$Recycle.Bin

Shadow Copy

Thumbcache

Folder/File Structure

 

Link Files

Vista와 동일한 위치에 존재합니다.

User Profile\AppData\Roaming\Microsoft\Windows\Recent

링크 파일은 Parent path와 file을 가리키는 정보를 포함합니다.

 

Spool files

.SHD

더 많은 정보를 포함하는 것으로 발전하였습니다.

Paper 크기, Paper orientation, Resolution 등

.SPL

명백하게 변경된 내용은 없습니다.

프린트된 문서의 각각의 페이지별로 .EMF 그래픽 파일을 포함합니다.

 

Alternate Data Streams

Text 파일 처럼 보이지만, ADS에 JPG 파일을 숨겨 놓을 수 있습니다.

 

EFS-Encryption System

EFS를 해제하기 위해서는 사용자의 로그온 패스워드를 필요로 합니다.

 

User Folder Structures

윈도우 7에서는 Windows Vista Directory Junctions 기능을 사용합니다.

 

Roaming 프로파일

사용자가 어느 곳에서 로그온 하든지 사용자 및 문서를 사용할 수 있도록 지원합니다.

 

AppData\Local

해당 컴퓨터에 저장된 데이터입니다.

 

AppData\Roaming

해당 계정을 따라 다니는 데이터가 포함됩니다.

휴대전화 로밍과 비슷 : 전화기를 다른 나라에서 쓸 수 있듯이, 프로그램을 다른 컴퓨터에서 쓸 수 있게 합니다.

 

Folder Redirection

컴퓨터를 2대 이상 사용하는 사용자가 여러 컴퓨터간에 이동하면서 자신의 데이터를 사용하고 설정을 동기화 하기 어렵습니다. Roaming과 Folder Redirection은 이러한 문제를 해결하기 위한 기술입니다.

Hex 수준에서 보면 원격지 Data 저장 위치를 확인할 수 있습니다.

 

포렌식적으로 가장 주목해야 할 사용자 폴더는

AppData

Documents

Favorites 에는 IE의 즐겨찾기도 포함됩니다.

모든 사용자가 공동으로 사용할 수 있는 프로그램은 ProgramData에 저장됩니다.

Cookies 폴더는 도메인 네트워크에 저장된 프로파일과 동기화되며, Temporary Internet History가 삭제되어도 여전히 존재합니다.

 

Default Directory Junctions

 

Old Path (XP/2K)	New Path (Vista/Win 7)
\Documents and Settings*	\Users
\Documents and Settings\<user>\Application Data*	\Users\<user>\AppData
\Documents and Settings\<user>\Cookies*	\Users\<user>\AppData\Roaming\Microsoft\Windows\Cookies
\Documents and Settings\<user>\Desktop	\Users\<user>\Desktop
\Documents and Settings\<user>\Favorites	\Users\<user>\Favorites
\Documents and Settings\<user>\Local Settings*	\Users\<user>\AppData\Local
\Documents and Settings\<user>\My Documents*	\Users\<user>\Documents
\Documents and Settings\<user>\My Documents\My Music	\Users\<user>\Music
\Documents and Settings\<user>\My Documents\My Pictures	\Users\<user>\Pictures
\Documents and Settings\NeHood*	\Users\<user>\AppData\Roaming\Microsoft\Windows\Network Shortcuts
\Documents and Settings\PrintHood*	\Users\<user>\AppData\Roaming\Microsoft\Windows\Printer Shortcuts
\Documents and Settings\Recent*	\Users\<user>\AppData\Roaming\Microsoft\Windows\Recent
\Documents and Settings\Send To*	\Users\<user>\AppData\Roaming\Microsoft\Windows\SendTo
\Documents and Settings\Start Menu*	\Users\<user>\AppData\Roaming\Microsoft\Windows\Start Menu
\Documents and Settings\Templates*	\Users\<user>\AppData\Roaming\Microsoft\Windows\Template
\Documents and Settings\<user>\Application Data\Credentials	\Users\<user>\AppData\Roaming\Microsoft\Credentials
\Documents and Settings\<user>\Application Data\Microsoft\Crypto	\Users\<user>\AppData\Roaming\Microsoft\Crypto
\Documents and Settings\<user>\Application Data\Microsoft\Protect	\Users\<user>\AppData\Roaming\Microsoft\Protect
\Documents and Settings\Local Settings\History	\Users\<user>\AppData\Local\Microsoft\Windows\History
\Documents and Settings\Local Settings\Temporary Internet Files	\Users\<user>\AppData\Local\Microsoft\Windows\Temporary Internet Files
\<folder>\thumbs.db	\Users\<user>\AppData\Local\Microsoft\Windows\Explorer

 

Supported Partition Structures

Windows 7 은 MBR partitioning(4 파티션 생성 가능)과 GTP partitioning(128 파티션 생성 가능) 둘 다 지원합니다.

GPT(GUID Partition Table) 파티션의 경우 첫 34개 섹터는 예약영역입니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : AD Windows Forensics (Win7)