[AXIOM] 윈도우 운영체제 아티팩츠 분석 개요

안녕하세요. 도깬리 포렌식스 입니다.

오늘부터는 AXIOM의 분석 기능 중 운영체제 아티팩츠에 대한 분석기능을 설명합니다. 모두 화이팅하세요 !!!

 

OS Artifacts – Personal Computers (PC)

컴퓨터 또는 모바일 디바이스에서 확보되는 운영체제 아티팩츠는 디바이스와 사용자의 행위에 대한 그림을 재구성하려는 조사자에게는 가장 증거가치가 있는 “퍼즐 조각(Puzzle pieces)”입니다. (Operating system artifacts, from either PCs or mobile devices, can represent some of the most valuable evidentiary “puzzle pieces” available to an investigator, when trying to rebuild a picture of device and user behavior.)

 

컴퓨터 사용 행위에 따른 흔적(behavioral artifacts)에는 다음과 같은 것이 있습니다.

- 소프트웨어 설치

- 네트워크 연결

- 파일 접근

- USB 연결

- 사용자 계정의 변경

- 시스템 설정 등

 

이러한 아티팩츠는 사용자의 아무런 조작이 없거나 약간의 조작만으로도 시스템에 의해 자동적으로 생성되는 것 들입니다.

그러한 흔적이 남아 있는 대부분의 시스템 파일의 위치는 사용자에게 알려져 있지 않거나 적절한 소프트웨어 또는 운영체제에 대한 깊은 이해를 필요로 합니다.

따라서 시스템 관련 아티팩츠는 대부분의 사건에서 사용자에 의해 쉽게 숨겨지거나 제거되지 않습니다.

 

“The absence of evidence is not evidence of absence.”

1995, The Demon-Haunted World, Dr. Carl Sagan

만약 사용자가 시스템 레벨에서 잠재적 증거를 제거하기 위한 외부 소프트웨어 유틸리티를 찾았다면, 그러한 흔적의 부존재는 조사자들에게 경각심을 불러 일으킵니다.

비록 사용자가 시스템 레벨 아티팩츠를 제거하는 데 성공하였더라도 역설적으로 이것은 증거를 복구하지 못하게 하는 운영체제의 일반적인 작용을 벗어나는 행위입니다.

운영체제는 아티팩츠와 그것을 실행하였던 사용자를 삭제하기 위해 사용된 소프트웨어에 대한 기록을 저장해 둡니다.

이러한 정보는 Windows event logs와 Windows registry와 같은 영역에서 복구될 수 있습니다.

 

그림참조 : https://carlsaganinstitute.cornell.edu/mission-and-history

 

Vista, Sever 2008 이상의 운영체제를 동작시키는 윈도우 컴퓨터에서 .evtx 확장자는 핵심적인 이벤트 로그 파일용으로 사용됩니다.

윈도우 7과 그 이전 버전에서 .evt 확장자는 로그 파일용으로 사용됩니다.

Windows 10에서는 ETL(Event Tracking Log) 파일 안에 많은 로그를 포함하고 있습니다.

 

AXIOM Process의 Computer artifacts 섹션에서, 복구하는 동안 사용자가 어떤 옵션을 사용하고, 어떤 운영체제 아티팩츠를 복구할 것인지 설정할 수 있습니다.

기본적으로 AXIOM은 알려진 모든 운영체제 아티팩츠를 복원하여 줍니다.

윈도우 이벤트 로그는 조사자에게는 가장 값진 자원입니다.

모바일 디바이스의 운영체제 카테고리도 사용자에 의해 Mobile artifacts 섹션에서 설정 가능합니다.

 

윈도우 운영체제에서는 다음의 아티팩츠로부터 운영체제 관련 흔적이 복구될 수 있습니다.

- 윈도우 폴더 구조

- 사용자 프로파일 폴더

- 윈도우 레지스트리

- 시스템 복원 지점 (restore point)

- 시스템 볼륨 정보 폴더 (Volume Shadow Copy)

- 비할당 영역

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Magnet AXIOM Examinations (AX200)