윈도우 아티팩트 (Artifact) 종류

아티팩트 (Artifact)

- 운영체제나 애플리케이션을 사용하면서 생성되는 흔적

- 보통 시스템에서 생성되는 증거를 2가지로 분류하는데 생성증거, 보관증거로 나뉜다.
생성 증거 : 시스템에나 애플리케이션이 자동으로 생성한 데이터 = 아티팩트
보관 증거 : 사람의 상상이나 감정을 표현하기 위해 작성한 데이터 = 문서파일, 메일, 블로그 등 사용자가 직접 작성한 문서

윈도우 아티팩트 ( Windows Artifact )

- 윈도우의 여러 기능들과 그 기능을 구현하는데 필요한 요소들 ( 파일 및 레지스트리 등)로부터 찾을 수 있는 여러 정보

• LNK 파일
  - 특정 응용프로그램을 실행했을때 바탕화면에 자동으로 링크파일이 생김
  - 사용자가 편의성을 위해 '바로 가기 만들기' 를 하였을 때 생성되는 파일
  - 로컬 및 데이터 파일 및 문서를 열기하였을 때 생성되는 파일
  - 바탕화면 외에도 최근 문서 폴더, 시작 프로그램, 빠른 실행 등 다양한 곳에 생성
  
  
• Jumplist
  - Windows 7 에서 새롭게 추가된 아티팩트
  - 응용프로그램별로 그룹화
  - 사용자가 자주 사용하거나 최근에 사용한 문서 또는 프로그램을 관리하는 링크 파일 ( 미디어 파일은 제외)
  
  
• Shellbags
  - 사용자가 로컬, 네트워크 및 이동식 저장장치에서 접근한 폴더 정보를 Shellbags 레지스트리에 기록한다
  - 포렌식 관점에서 바라볼때 사용자가 특정 폴더에 접근한 시간 정보 확인
     존재하는 폴더의 삭제/ 덮어쓰기에 대한 증거 추적
     Explorer를 통한 접근에 대한 MAC타임 추적
  
  
• Open / Save MRU
  - Windows XP의 OpneSaveMRU 이름이 Windows Vista부터 OpneSavePidMRU로 변경
  - Windows 탐색기 공용 대화 상자를 통해 열거나 저장된 파일 정보를 저장
  - Web browsers 및 Applications를  통해 열거나 저장한 파일 정보 저장
  - 파일의 확정자 별로 그룹화
  
  
• Recent Files
  - 사용자가 Windows 탐색기를 통해 열거나 실행한 파일, 폴더 저장
  - 최근 문서(Recent)와 동일하지만 확장자별로 그룹화
  - [시작]-"최근(Recent)"메뉴에 데이터 저장
  
  
• UserAssist
  - 최근에 실행한 프로그램 목록, 마지막 실행 시간, 실행 횟수 등 기록
  - 각 사종자의 NTUSER.DAT 레지스트리 파일에 응용프로그램의 실행 횟수가 저장
  - 가상화를 통해 쓰여진 데이터는 NTUSER.dat이 아닌 UserClass.dat에 저장
  
  
• Prefetch
  - Windows XP부터 운영체제에서 제공하는 메모리 관리 정책
  - 실행파일을 메모리로 로딩시 효율을 올리기위해 개발
  - 컴퓨터에 장착된 드라이버와 서비스, 폴더정보, 어플리케이션 정보 등을 미리 읽는다
  - 응용프로그램의 이름, 실행 횟수, 마지막 실행 시간, 볼륨 정보 등 저장
  - Layout.ini파일에는 프리패치 파일에 대한 목록 저장
  
  
• ShimCache
  - AppCompatCache로 불리기도 한다
  - 응용 프로그램 간 호환성을 제어하고 트로블슈팅과 문제 해결을 위해 만든 파일
  - 악성 코드 실행 시 호환성 문제가 발생하기 때문에 침해분석에 활용
  - 모든 실행 파일의 경로, 크기, 마지막 수정시간, 마지막 실행 시간 등의 정보를 저장
  - 프리패치와 비슷한 응용프로그램의 실행 정보 저장 ( 프리패치는 한정적이라 사라질 가능성이 있음 )
  - 특정 malware가 실행된 시스템 식별
  
  
• AmCache
  - Windows7 에서의 RecentFileCache.bcf파일이 Windows8 에서는 Amcache.hve파일로 대체
  - 프로그램 호환성 관리자와 관련된 레지스트리 하이브 파일
  - 응용 프로그램의 실행 정보 저장
  - 응용 프로그램의 실행 경로, 최초 실행 시간, 삭제시간 정보 등 저장
  - 프리패치 파일과 병행하면 프로그래므이 전체적인 타임라인 구성 가능
  
  
• MUICache
  - 다중언어를 지원하기 위해 프로그램 이름을 캐쉬화하는 기능
  - 윈도우에서 사용되는 기본 프로그램과 평소에 실행하지 않았던 프로그램 목록도 포함
  - Windows가 설치될 때 Regedit, notepas, control 등의 프로그램들은 각각 레지스트리 편집기, 메모장, 제어판으로 수정
  - 프로그램이 한 번이라도 실행됐다면 목록에 저장되고 사용자가 일부러 지우지 않는 이상 그대로 존재
  - 각각의 국가별로 프로그램 명칭 및 경로를 관리
  
  
• SRUM
  - Windows8 부터 제공되고 있고 시스템 자원 활용도를 추적하는데 사용
  - 프로세스 소유자, CPU주기, 네트워크 활동, 전력 소비 등 확인
  - 응용 프로그램 시작 실행자, 실행 시간이나 삭제/제거/외부 프로그램 추적 정보 확인
  - SRUM레지스트리는 데이터 보관을 위한 임시 저장 위치이고 데이터는 SRUM.dat파일에 저장
  - SRUM.dat 파일은 Windows ESE 데이터베이스 형식
• Timeline
  - 작업 표시줄에 있으며 현재 실행 중인 어플리케이션이나 지난 활동을 표시
  - 기본적으로 이른시간, 특정 과거 날짜에 진행 중이던 작업에 대한 스냅샷 표시
  - 인터넷 검색 기록, 자주 열어본 파일 등을 시간대 별로 보여준다
  - 인터넷 검색 기록은 edge로 한정되고 설정을 통해 끌 수 있다
  - 사건이 일어나는 시점을 중심으로 분석
  - 사건 발생 시점을 정확히 알 수 없을 때에는 추가적인 분석 기법과 우선 순위 선정이 중요
  
  
• Windows Event Logs
  - 윈도우 운용과정에서 발생하는 특정 이벤트를 종합적이고 체계적으로 로그 기록
  - 시스템 성능, 오류, 경고 및 운용정보 등의 중요정보 기록
  - 기록된 로그들은 각각 이벤트 ID할당
  - Event ID를 알 고 있으면 원하는 정보를 빠르게 확인 가능
  - 시스템에서 발생하는 취약점, 장애원인, 성능관리, 외부 침입 감지 및 추적 등을 분석
  
  
• USB
  - USB 설치 과정에서 드라이버 설치 로그파일과 레지스트리 흔적을 알 수 있는 데이터
  - 연결 시간, 해당 장치 ID, 볼륨 레이블, 드라이브 문자, 시리얼 번호 확인 가능
  
  
• BAM / DAM
  - BAM( Background Activity Moderator )
  - 백그라운드 응용 프로그램의 활동을 제어하는 Windows 서비스로 Windows10에 존재
  - 시스템 및 마지막 실행 시간, 날짜 정보 확인 가능
  - 레지스트리 경로에 있는 실행파일의 전체 경로를 확인 가능
  - DAM ( Desktop Activity Moderator )
  - 장치에 연결된 배터리 수명을 보장하도록 설계된 Windows8의 새기능
  - 연결된 대기모드 지원
  - 장치는 켜저있지만 화면이 꺼져있는 상태
  - 연결된 대기 입력시 시스템 전체에서 데스크탑 소프트웨어 프로세스를 일시 중단하거나 제한
  - dam서비스는 dam.sys파일을 사용