7주차_디지털 포렌식 스터디

섹션 3. 윈도우 포렌식, 깊게 들어가 보아요

Prefetch 개념 및 실습

• 응용 프로그램의 빠른 실행을 위해서 존재하는 파일
• 응용 프로그램을 실행할 때에 생성
  • 실행 파일 이름, 경로
  • 실행 파일의 실행 횟수
  • 실행 파일의 마지막 실행 시간
  • 실행 파일의 최초 실행 시간

원리

1. 하드디스크에서 CPU에서 처리가 된다.
2. 하드디스크에서 이 응용프로그램이 존재하는 것을 RAM이란 메모리에 올려 CPU가 RAM에 접근해서 그걸 가져와서 계산을 하는 식으로 컴퓨터가 돌아간다.
3. => 하드디스크에서 바로 파일을 불러오는 것 자체가 오랜 시간이 걸린다. 그래서 램에 어떤 실행되었던 응용 프로그램의 목록을 가지고 있다. 따라서 램을 살펴보면 경로도 있고 마지막으로 언제 실행했는 지 등등이 담겨있다

 

 

실습

• 프리패치의 경로
  • %SystemRoot%\Prefetch
• WinPrefetchView 이용하여 분석
  • https://www.nirsoft.net/utils/win_prefetch_view.html

 

 

응용 프로그램 추적할때 프리패치를 우선으로 대충 한번 보고 MUICache, ShimCache 같은 것으로 교차 검증을 해야 한다.

 

MUICache 개념 및 실습

• Windows에서 다중 언어를 지원하기 위해 존재하는 캐시
  • MUI(Multilingual User Interface)
  • 실행 파일 별로, 유저 언어(한국어) 이름을 별도로 저장하고 있음
• 응용 프로그램을 실행하면 캐시에 기록이 남음
  • 실행 파일 경로, 이름
  • 실행 파일 별로, 유저 언어(한국어) 이름을 별도로 저장하고 있음

 

실습

• MUICache 경로
  • HKCU\Software\Classes\Local Settings\Muicache
  • HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
• MUICache View 이용하여 분석
  • https://www.nirsoft.net/utils/muicache_view.html

 

 

 

AmCache&ShimCache 개념 및 실습

 

• 응용 프로그램과 운영체제의 호환성을 위해 존재하는 캐시
  • 운영체제가 업데이트되면 DLL이 생성 혹은 삭제 -> 호환성 문제 발생
  • Windows에서는 프로그램 호환성 관리자를 이용하여 이 문제를 해결
• Amcache
  • 모든 실행 파일의 이름, 경로, 크기, 해시값 확인
• ShimCache(AppCompatCache)
  • 실행 파일의 이름, 경로, 크기 정보 확인
  • 마지막 실행 시간 확인

 

실습

• AmCache&ShimCache 경로
  • %SystemDrive%\Windows\AppCompat\Programs\Amcache.hve
  • HKLM\SYSTEM\ControlSet001\Control\Session Manager\AppCompatCache
  • HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatCache
• AmcacheParser, AppCompatCacheParser 이용하여 분석
  • https://ericzimmerman.github.io/#!index.md

 

위 두개를 다운받아 줍니다. 근데 바로 나가져서 실습을 하지 못했다 관련 질문을 찾아보았는데 없어서 하지 못했다.

 

 

 

브라우저 아티팩트 개념

1. Web Browser Artifacts

Web Browser

: 인터넷을 이용하기 위해 실행하는 응용 프로그램 (Chrome, Edhe, Whale 등)

• 브라우저를 통해 하는 일들
  • 웹 검색
  • 로그인
  • 파일 다운로드
  • 영상 시청

Web Browser Artifacts

: 웹브라우저가 해주는 수많은 행동들 수많은 데이터 수많은 유저를 위한 그런 기능들을 포렌식적으로 분석하는 것

• History : 방문한 URL, 방문 횟수, 방문 시각 등
• Cache : 캐시로 저장되는 이미지, 텍스트, 스크립트, 아이콘, 시간, 크기 등
• Cookie : 시용자 데이터, 자동 로그인 등
• Download list : 저장 경로, URL, 크기, 시간, 성공, 여부 등

 

브라우저 아티팩트 실습

2. Tools&Practice

실습

• 브라우저별 경로
  • Chrome : %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\
  • Edge : %UserProfile%\AppData\Local\Microsoft\Windows\WebCache
  • Whale : %UserProfile%\AppData\Local\Naver\Naver Whale\User Data\Default\
• Chrome 아티팩트 분석
  • History
  • Cache
  • Top Sites
  • Shortcuts
  • Bookmarks
  • Last Tabs
• DB Browser for SQLite
  • https://sqlitebrowser.org/

• Edge 아티팩트 분석
  • WebCacheV01.dat
• WebCacheV01.dat
• ESEDatabaseView
  • https://www.nirsoft.net/utils/ese_database_view.html

총정리

• BrowsingHistoryView
  • https://www.nirsoft.net/utils/browsing_history_view.html
• Chrome
  • ChromeCacheView.Hindsight
• Edge
  • IE10Analyzer, ESEDatabaseView
• Whale
  • Carpe Forensics
  • 데이터베이스 직접 열어보기