EnCase v7 Processor Analysis

EnCase v7 Processor 기능을 이용하여 Parker's HDD 를 분석해 보겠다.

 

Processor 기능을 적용할 Parker's HDD 를 선택하고 상단에 Process Evidence 아이콘을 클릭하면 하단에 Process , Acquire , Acquire and Process 옵션창이 나타난다.

여기서 Process 옵션을 클릭하여 실행한다.

 

실행하면 EnCase Processor Options 창이 나타난다. 이 Options 에서

 

 

 Recover Folders , File signature analysis , Protected file analysis , Thumbnail creation , Hash analysis , Expand compound files , Find email , Find Internet artifacts , Modules -> System Info Parser , Windows Event Log Parser , Windows Artifact Parser Option 을 선택하고 OK 를 클릭한다.

 

그럼 우측 하단에 녹색게이지의 상태 창이 나타난다. 현재 Processing 작업의 상태를 나타내주는 상태창이다.

 

Processing 작업은 Processor Manager Tab 에서 확인할 수 있다.

메뉴 -> View -> Processor Manager 기능을 클릭한다.

 

 

그럼 Processor Manager Tab Evidence Case 안에 Processor Manager Page 를

활성화시켜 작업 상태를 보여준다.

현재 Processing 작업이 진행중이다. 우측 하단에 Parker's HDD Evidence 를 Processing 작업의 상태를 게이지로 나타내주는 창이 활성되었고 Processor Manager Tab 으로 이동하면 % 를 기준으로 Processing 작업의 진행현황을 확인할 수 있다.

State -> Completed 를 나타내므로 현재 작업이 완료된걸 확인할 수 있다.

즉 Processing 작업이 완료된 것이다. 이제 이 작업이 완료된 Processor 결과를 확인하여 Parker's HDD 의 Analysis 을 진행해야 한다.

 

 

메뉴 -> View -> Records 기능을 실행하면 Processing 작업에 대한 분석을 확인할 수 있다. 메뉴 -> View -> Records 를 클릭한다.

 

자 그럼 Evidence Case 에서 Records Page 가 활성화 된다. 위와 같은 화면이 나타난다.

Records Tab 에서 Analysis 내용을 확인할 수 있다. 그리고 분석을 확인하기전에 아주 중요하면서도 기본적인걸 확인해야 한다.

바로바로  Time Zone 이다.

Time Zone 으로 인해 알리바이가 확 바뀔수 있고 셋팅값이 꼬이면 답도 없다.

해외 지사가 있는 기업은 대시보드를 만들어 Time Zone 를 다 계산하고 분석 작업을 해야한다.

Time Zone 는 레지스트리 키에 있는 값이다. 그런데 분석을 편하게 하기 위해 쓰는게 이런 솔루션들이지만 , 경로 또한 충분히 알고 있고 찾아볼 수 있어야 한다.

Processing Analysis 을 통해 Time Zone 값을 찾을 수 있다.

 

 

 

 

 

 

Records -> Evidence Processor Module Results -> System Info Parser -> SYS -> Windows -> Parker's HDD (C) -> Operating System -> Time Zone

위 경로대로 찾아가면 Parker's HDD 에 설정된 Time Zone 값을 확인할 수 있다.

그리고 여러 시간 정보도 확인할 수 있으며 하단에 Display 쪽 Central Time 를 확인해야한다.

현재 GMT -06:00 US & Canada 정보를 나타내주고 있으므로 이 정보를 해당 Evidence File 에 적용해야 한다.

그리고 또 확인할게 시기상 Summer Time 이 적용되어 있느냐 안되어 있느냐 상태를 확인해야한다.

 

Time Zone 적용은 Evidence Tab 에서 이루어진다.

Evidence Page 로 이동후 Entries -> Parker's HDD 선택 후 우클릭 -> Device

-> Modify time zone settings... 를 클릭한다.

 

그럼 현재 설정된 Time Zone 값은 분석 System Time Zone 로 설정되어 있다. 이 시간을 위에서 확인한 GMT -06:00 US & Canada 시간으로 변경하고 적용해주어야 한다.

 

 

스크롤을 내리면 UTC -06:00 중부 표준시 (미국과 캐나다) 시간이 있다. 이 시간을 적용하고 하단에 OK 를 클릭한다.

그럼 Time Zone 이 선택한 UTC -06:00 중부 표준시 (미국과 캐나다) 으로 적용되게 된다. 

이제 다시 Processing 분석에 대한 결과를 확인해보자.

 

Archive 를 선택하면 Compound file 에 대한 Analysis 결과를 확인할 수 있다.

Archive 란 내부에 파일이 존재하는 파일이란 뜻으로 즉, 복합파일을 의미한다. 복합파일에 해당하는 파일은 대표적으로 압축파일이 있으며, 문서파일의 경우 JPG 가 저장된 문서파일도 복합파일로 인식된다.

그러므로 Archive 분석을 통해 나타난 결과는 복합파일이 분석된 것이다.

 

Internet 을 선택하면 History , Cache , Cookies , Bookmarks 등 정보를 확인할 수 있다.

 

Thumbnails 를 선택하면 당연히 Thumbnails 정보를 확인할 수 있다.

 

다양하고 많은 정보를 확인할 수 있는 Evidence Processor Module Results 영역이다.

System Info Parser , Windows Artifact Parser , Windows Event Log Parser 정보를 확인할 수 있다.

 

Records -> Evidence Processor Module Results -> System Info Parser -> SYS -> Windows -> Parker's HDD (C)

경로로 이동하면 Operating System , Hardware , Accounts , Network , Software , USB Devices , MRU Artifacts , Custom Keys 등 다양한 정보를 확인할 수 있다.

 

Operating System 을 선택하면 System Artifacts , Time Zone , Service Artifacts 정보를 확인할 수 있다.

 

System Artifacts 정보이다. 운영체제에 대한 정보를 확인할 수 있다.

 

Time Zone 정보이다. 이 정보를 확인한 후 설정되어 있는 Setting 시간을 해당 Evidence File 에 적용해야 한다. 그외 Summer Time 도 확인해야하며 다양한 정보를 확인할 수 있으며, 중요한 정보이다.

 

Service Artifacts 정보이다.

해당 System 에서 Service 되었던 기록들을 확인할 수 있다.

 

Hardware 를 선택하면 Devices , Miscellaneous 정보를 확인할 수 있다.

 

Devices 정보를 확인해보면 해당 System 에 연결되었던 장치들의 목록을 확인할 수 있다.

한번이라도 USB 분석을 시도했다면 이 정보만 확인해도 USB Registry Key 를 참조한다는걸 확인할 수 있다.

 

Miscellaneous 정보는 System 에 대한 이런저런 정보가 확인가능하다.

 

Accounts 를 선택하면 User Accounts 정보를 확인할 수 있다.

 

User Accounts 정보를 확인하면 해당 System 에 등록되었던 Users Information 을 확인할 수 있다.

User Name , Last Logon Date , Security ID 등 중요한 정보를 확인할 수 있다.

보고서를 작성할 때 User Accounts 정보를 쓴다. 웬만하면 거의 대부분 Windows Install 할 때 계정을 만들어서 계속 사용할텐데 Account 에 대한 Count 정보를 확인할 수 있다.

마지막 로그온 시간 , 생성일자 등을 확인할 수 있다.

그리고 Registry 기록을 너무 맹신하지 말자, 제대로 안 남을 때가 많다. 특히나 Account 의 경우 Windows 가 Install 되면 계정이 만들어 진다. 그리고 Windows 가 계정을 만든 시간이 이 때라고 생각한다.

만약 기록이 안남았다면 이렇게 확인한다. 이 확인을 하기 위해 운영체제를 알아야 하기도 한다.

 

 

컴퓨터 -> C 드라이브 -> 사용자 안에 폴더가 있다. 이 폴더 생성일자를 생각해보면,

계정을 생성할 때 해당 폴더가 생성된다. 그럼 유추해볼 수 있는건 웬만한 관리자 계정 아닌 이상 강제로 바꿀 수 없다.

 

Network 에서는 Interfaces 정보를 확인할 수 있다.

​

 

Interfaces 정보에는 장치 이름 및 DHCP 정보 등 Network 에 대한 정보를 확인할 수 있다.

PC에 자기만의 무선 랜카드를 꽂아 사용할 수있다. 그렇게 된다면 Interface 정보에 연결했단 정보가 남게 될 것이다.

 

Software 는 Installed Applications , Installed Microsoft Applications , Uninstalled Applications 에 대한 정보를 확인할 수 있다.

 

Installed Applications 정보에는 해당 System 에서 설치되었던 Applications 에 대한 정보를 확인할 수 있다.

 

Installed Microsoft Applications 정보는 Microsoft 에서 Update 나 개발된 Applications 의 설치된 정보를 확인할 수 있다.

 

Uninstalled Applications 정보는 해당 System 에서 삭제된 Applications 정보를 확인할 수 있다.

 

 

USB Devices 를 선택하면 Devices 정보를 확인할 수 있다.

 

Devices 의 정보는 해당 System 에 연결되었던 장치들에 대한 정보를 확인할 수 있다.

 

MRU Artifacts 를 선택하면 Internet Explorer Typed URLs , Explorer Recent Documents 에 대한 정보를 확인할 수 있다.

MRU 란 Most Recently Used Files 약자로 최근 사용한 파일을 뜻한다.

 

Internet Explorer Typed URLs 에 대한 정보는 최근에 접속하였던 Internet URL 기록이 남아 있다. 어떤 Internet Site 에 접속하였는지 확인할 수 있다.

  

Explorer Recent Documents 에 대한 정보는 Explorer 에서 최근에 확인했던 문서 정보들을 나타내준다.  최근에 확인했던 문서들을 확인할 수 있다.

 

다음 Evidence Procerssor Module Results 에서 Windows Artifact Parser 정보를 확인해보자.

 

Records -> Evidence Processor Module Results -> Windows Artifact Parser ->

Windows Artifact Parser 경로로 이동하면 Recycle Bin , MFT Transfers , Link Parser 정보를 확인할 수 있다.

 

 

 

 

Records -> Evidence Processor Module Results -> Windows Artifact Parser ->

Windows Artifact Parser -> Recycle Bin -> INFO2 -> INFO2

로 이동하면 INFO2 에 대한 정보를 확인할 수 있다.

INFO2 파일

휴치통에 있는 파일을 보면 다른 정보와 함께 파일의 원래 이름과 경로를 보게 된다. 삭제된 파일은 더 이상 원래 이름을 유지하지 않기 때문에 표시된 정보는 반드시 어딘가에 저장돼 있어야 하는데, 저장 위치는 INFO2 파일이라는 숨김 파일 hidden file 이다. 따라서 삭제된 파일은 휴지통에서 새로운 이름을 얻게 되는데, INFO2 파일에 있는 에트리 정보도 삭제된 것으로 바뀐다.

INFO2 파일은 휴지통에 있는 파일에 대한 정보가 저장돼 있는 데이터베이스다. 휴지통에 있는 파일을 본다는 것은 실제로 INFO2 파일의 내용을 보는 것이다. 따라서 파일이 휴지통으로 옮겨지면 다음 정보가 휴지통에 저장된다.

ㅇ 파일의 원래 이름과 경로

ㅇ 삭제된 날짜와 시간

ㅇ 인덱스 숫자

인덱스 숫자는 새로운 파일명과 INFO2 레코드에 공통으로 저장돼 있는 정보이기 때문에 둘 사이의 링크다.

휴지통에 남아있는 폴더들에 대한 실제경로다. 휴지통에 데이터가 들어가는 경우 실제 파일들이 넘어가면서 해당 파일들의 위치값이 변화한다. 삭제된게 아니라 휴지통 폴더로 옮겼다 생각하면 된다.

Shift + Delete 를 하지 않는 이상 휴지통을 거치면 경로가 D Drive 에 있었다가 Recycle Bin 폴더로 옮겨졌다고 생각하면 된다.

그럼 해당 파일들이 갖고 있던 원래 경로 들을 INFO2 라는 파일이 원래 경로를 가지고 있게 된다.

Records -> Evidence Processor Module Results -> Windows Artifact Parser ->

Windows Artifact Parser -> MFT Transfers -> $LogFile

경로에는 Mft Artifact , Index Artifact , Link Artifact 에 대한 정보를 확인할 수 있다.

각각 Artifact 의 경우 MetaData 정보들을 확인할 수 있다.

 

Records -> Evidence Processor Module Results -> Windows Artifact Parser ->

Windows Artifact Parser -> Link Parser -> Link Files

아주 중요한 Link Parser 의 Link Files 이다.

공유 서버를 예로 들어보자.

업체마다 다르기에 어떤 업체는 공유서버를 서버실에서 운영하고, 아니면 NAS 를 운영하기도 하고 다양하게 공유 서버를 운영한다.

그럼 분석을 진행할 때 조사를 해야 하는데 알아낼 수 있는 정보를 알아내야 한다. IP 도 알아내고, 서버명도 확인하고 공유서버에 접근해서 파일을 실행한 이력들의 Link 도 확인 해야한다.

바로가기 파일을 Short File 이라는데 Link File 이런걸 확인할 수 있고 프로그램 실행 정보를 확인할 수 있다.

바로가기 파일이나 링크 파일은 실행되는 경로에 대해서 폴더 접근 이력이 남고 파일 실행 이력이 남는다.

그런데 프로그램 실행 이력은 경로는 남는데 exe 파일로 실행된다.

만약 프로그램 이름이 엄청 긴데 그걸 exe 파일에 넣지 않으므로 실행파일 이름을 알아야 한다.

경로상에서도 프로그램에 대한 이름을 남길 수 있지만 그렇지 않을 수 있다.

그러므로 프로그램을 실행했던 실행파일에 대한 이력을 조사해야 한다. exe 파일까지.

exe 파일을 실행했을 때 프로세스에 똑같은 이름이 뜨는지도 확인해야 한다.

 

 

확인 할 수 있는 Link Files 는 1 ~ 2 kb에 해당되는 그냥 바로가기 파일이다. Base Path 에서 원래 경로를 확인할 수 있다. 원래 경로가 상당히 중요하다.

사람들이 놓칠 수 있는 부분이지만, 원래 경로가 어디인지 아주 중요하다.

사용자들이 인위적으로, 프로그램이 Link File 을 만들 수 있다. Photo shop 를 설치하건, Adobe  Reader 를 설치하건 바탕화면에 Link File 이 생성되는데 그게 아닌, 사용자가 설치된 경로에서 프로그램을 실행하면 실행한게 Link File 로 기록이 남는다.

만약 C 드라이브에서 실행했다면 Registry 에 기록이 남는다. Recent 에도 기록이 남는다.그리고 파일로 저장도 되고 Link File 로도 기록이 된다. 추적할 수 있는 Item 은 상당히 많다.

그런데 바로가기 파일, Link File 은 Anit-Forensic 행위를 하면 대부분의 프로그램이 지워준다. 어쩌다 찾았다면 그건 경로나 Registry key Name이 프로그램 명칭이랑 Match 가 안되는 경우다.

Link File 이 왜 또 중요하냐면 Registry 는 Hive File , 복합파일로 저장되어 용량이 크고 Recent File 은 File 로 저장되기 때문이다.

그리고 덮어씌어진지가 얼마 되지 않았다면 파일 카빙이 아주 잘된다.

파일 카빙을 했을 때 해당 데이터들의 Link File 대한 내용의 복구가 엄청 잘된다. Link File 의 중요성은 Event Log 보다 더 중요하다. Link File 만 잘 알면 분석할 때 놓칠 수 있는 Artifact 를 많이 찾을 수 있다.

Symbolic Pass 도 중요하고 Link file 의 중요한 점은 MAC Time 을 통해 파일이 자주 실행됐는지 한번만 실행됐는지 기록을 알 수 있다.  변경된 시간을 확인하여서.

 

 

 

Drive Type 는 Volume Name 에 대한 정보를 나타낸다. 이동식 Disk 도 Volume Name 이다.

 

 

그리고 Volume Serial 정보도 중요하다.

기업에서 보안 USB 란게 있다. 회사에서 직원들만 배포하는 USB. 그런데 그거랑 똑같은 USB 를 사용할 수 도 있다. Volume Name 이 같을 수 도 있다.

Registry 기록에 Volume Serial 이 남게되는데 Volume Name 뒤 쪽에 Volume Serial 기록이 남는다.

현재 확인된 Serial 은 16진수이며 이 값을 10진수로 변환한다. Serial 은 16진수로 기록되며 10진수로 변환하면 Registry 뒤에 있는 내용이 나온다.

유출에 대해 보안솔루션 도입이 안되었다면 분석시 이런 사항을 필이 알고 분석을 해야 한다.

 

다음 Evidence Procerssor Module Results 에서 Windows Event Logt Parser 정보를 확인해보자. 

 

 

Records -> Evidence Processor Module Results -> Windows Event Log Parser -> WinEventLog -> EVT

해당경로로 이동하면 EVT 정보밖에 보이질 않는다.

Event Log 중요성도 Registy 중요성만큼 아주 중요하다. 가령 USB 를 예로 들면

보안 솔루션을 도입하면 USB 는 기록이 남는다. USB 로 데이터를 이동했는지 등 기록이 남는다.

만약 보안 솔루션이 안되어 있다면

권한을 해제로 설정하고 운영하는 기업이 정말 많다. 권한을 해제할 수 있는 승인권자가 자기 편의 때문에 해제를 하고 쓴다. 그 자체로 보안의 구멍이 된다. 그런 사람들을 보면 USB 연결기록이 상당히 많으며 USB 보안도 제대로 안된다.

Event Log 를 보는 이유는 현재는 작동안하는데 USB 같은 경우 Setup API 파일을 볼 수 있는데 거기에 Log File 이 남아있다. 대게 처음 USB 를 꽂으면 장치 설치라고 뜨는 경우다.

여기서 보는게 외장 저장장치가 연결 될 때마다 드라이브가 설치되고 사용하기위해 설치가 된 기록이 남는다. 그렇다고 여기만 남느냐?

Event Log 도 남는다. Registry 에 기록되는 거는 연결 해제시만 기록된다.

보안 솔루션이 있다면 행위에 대한 모든걸 체크할 수 있지만 없다면 Event Log 에서 확인할 수 있다.

USB 연결, 해제 이렇게 기록되지 않고 USB Serial , 제조사 , Volume Serial , Label Name 등 다 남아 있다. 이 정보를 통해 추적해 나가야 한다.

Event Log 는 System 목록 Program 도 볼 수 있다.

예로 퇴직을 앞두고 3개월 이전부터 퇴직자를 보면 평균적으로 불필요하게 회사를 나오거나 야근을 많이 한다. 갑자기 주말에 나오거나, 행동을 의심스럽게 한다. 이러한 행동을 System List Program 을 통해 확인 가능하고 또 Event Log 에서도 볼 수 있다.

또 보안 솔루션이 있으면 아무런 걱정이 없으나 없는걸로 가정한다면

Event Log 의 중요성은 아주 많다. 그리고 원격 접근한 것도, 반 원격 접근도 Log 를 남겨야 한다.

Event Log 가 안남게 설정되어 있으므로 Event Log 가 기록되게 설정해야 한다.

기록되게 설정하면 해당 Port 를 통해 접근되는 기록은 다 남는다. 그럼 나중에 보기 편하고 원격으로 접근한 걸 볼 수 있지만 설정을 하지 않으면 볼 수 없다.

너무 Registry , System 에 남아있는 Log File 보다 Event Log 에 남아 있는 중요성도 아주 많다. 더불어 Link File 도.

 

Records -> Evidence Processor Module Results -> Email

해당 경로는 Email 정보를 확인할 수 있다. 메일 정보를 확인할 때 결국 메일들을 보낸이와 받는이, 첨부된 파일의 확인이 중요하다.

Email 분석은 키워드 분석을 할 것이고, 인덱싱도 할 수 밖에 없다. 워낙 엉뚱한 데이터가 남아 있을지 모르기 때문에.

내가 보낸게 아니기 때문에 피의자가 어떤 행동을 할 지 모른다.

Email 분석을 하면 화면처럼 확인이 가능하다. 사진이 첨부되어 있다면 사진도 볼 수 있다.

보낸이가 누군지, 받는이가 누군지 이런 정보를 확인해서 데이터 정보를 뽑아내서 필터링 한 다음 정보를 확인할 수 있다.

분석을 진행하다보면 이런 경우가 있다.

분석의뢰로 현장에 가면, 자기 회사의 보안 정책을 모르는 경우가 있다. 그런 경우 보안 정책을, 어떤게 허용되는지 알려야 한다.

분석하다보면 말도 안되는 소프트웨어가 깔려 있다. 보안정책상 허용이 되어 있다고 뭐라 하지 말라고 하는데, 그럼 분석관은 당황하게 된다.

흔히 클리너 툴 경우.. 말도 안되는 클리너 툴이 많다. 그러나 한끗 차이다. 클리너 툴 자체가 좋게 쓰려는 의도가 있고, Anti-Forensic 행위다.

클리너 툴 자체를 Anti-Forensic 행위로 분류하지만 기업의 내부 보안정책이 중요하다.

국내의 클리너 툴은 상용목적으로 솔루션이 나오며 해외 솔루션을 많이 쓴다. EnCase 에 기록이 안남게 하는게 상당히 많다.

Uninstall 기록의 Registry 라든지, Link File 까지 다 지워주고 자기가 썻던 TeamViewer 라든지 VPN 흔적까지 다 지울 수 있다.

Uninstall 때 Registry Key , Link File , 관련 자료까지 다 지워버린다.

Advanced System Care Program 상당히 강력한 프로그램이며 프로그램 기능이 업데이트 되는게 상당히 무섭다.

기업의 분석을 진행하다보면 이런 일을 자주 겪을 수 있는 것이다.