Yum_Yum

[Windows Artifacts] WER

(1) WER이란?

• 윈도우 문제 보고 (Windows Error Reporting)

• 하드웨어 / 소프트웨어 오류 발생 시 관련된 디버깅 정보 수집 및 보고용

• Microsoft 서버로 수집된 덤프 발송 (OS Dependency)

• 레지스트리에서 WER 관련된 기능 설정 가능

• 로컬 WER 크래시 덤프 생성 가능

(2) WER 상세 내용

2-1. Kind of

• Windows OS Function

2-2. Information

• File Name, Event Time, App Path, Etc.

2-3. Path

• Microsoft-Windows-WER-Diag%4Operational.evtx - Event Log

• %SystemDrive%ProgramData\Microsoft\Windows\WER\ReportArchive

• %UserProfile%AppData\Local\Microsoft\Windows\WER

2-4. Characteristic

• If malware craches, detection is possible

(3) 아티팩트 수집 및 분석 실습

3-1. FTK Imager > ProgramData > Microsoft > Windows > WER > ReportArchive 폴더 아티팩트 확인

• 마우스 우클릭 - Export Files

해당 경로로 이동하게 되면, ReportArchive 폴더 안에 WER 아티팩트들이 존재한다.

마우스 우클릭을 한 다음, Export Files 기능을 통해 WER 아티팩트를 수집한다.

여기서 중요한 것은, 아티팩트 수집(추출)이나 출력 결과물 저장은 수집 대상물의 데이터 무결성을 위해 분석 환경에서 진행해야 하며, 가상 환경 공유 폴더나 이동식 매체로 지정해야 한다.

즉, 수집 도구에 의한 수집물은 '이동식 매체'로 저장하고 분석 결과도 수집 대상물에 저장되지 않도록 분석은 수집 대상물 PC가 아닌 분석용 로컬 PC(호스트)에서 진행해야 한다.

수집된 파일이나, 디렉토리는 수집 대상물의 디스크에 바로 저장되어서는 안 되며, 바로 공유 폴더  등의 이동식 매체에 저장되어야 데이터 무결성이 깨지지 않는다.

또한, 아티팩트를 수집할 시에 MAC 타임 보존은 필수적으로 숙지하고 진행한다.

위 [그림 3]은 해당 아티팩트 분석을 위해 분석 환경 공유 폴더로 해당 아티팩트를 지정해 준 화면이다.

3-2. Sublime Text3 활용, WER 분석

Sublime Text3 프로그램을 이용하여 Report.WER 파일을 오픈한 화면이다.

ColorEngine 프로그램에 대한 WER 파일이다.

WER 아티팩트를 통해 얻을 수 있는 정보로는 다음과 같다.

• 프로그램에 대한 오류 정보

• 프로그램 버전

• 타임스탬프

• 오류 모듈 DLL

• 프로그램에 대한 정확한 오류 정보

• Loaded Module에 대한 정보와 경로

• OsInfo

• FriendlyEventName

• 프로그램 이름 & 경로 

이외에도 여러 추가적인 정보 확인이 가능하다.

(4) 추가 내용 정리

• 윈도우 문제 보고 (Windows Error Reporting)는 윈도우 XP부터 추가된 기능

• 운영체제에 H/W나 S/W 오류가 발생하면 오류와 관련한 디버깅 정보를 수집하여 보고하는 기능

• WER은 H/W나 S/W 오류를 탐지하여 개선하고자 하는 기능이지만, 악성코드도 S/W이기 때문에 악성코드 탐지에도 사용 가능

• 악성코드는 보통 제작될 때, 모든 환경을 고려하지 못해 자주 시스템 관련 오류를 발생시키는데 주로 운영체제 버전이 맞지 않거나 플랫폼이 맞지 않아 발생하므로, 오류 발생 시 생성한 로그를 통해 악성코드인지 여부 판단 가능

• WER 크래시 덤프를 남기도록 설정해두면, 사고 조사 시에 악성코드의 정확한 흔적이 남을 수 있음

# Reference

https://docs.microsoft.com/ko-kr/windows/win32/wer/wer-settings?redirectedfrom=MSDN

https://docs.microsoft.com/ko-kr/windows/win32/wer/collecting-user-mode-dumps?redirectedfrom=MSDN

[Windows Artifacts] Task Scheduler

(1) Task Scheduler란?

• 작업 스케줄러는 미리 정의된 시간 또는 지정된 시간 간격 (작업 예약) 후에 프로그램이나 스크립트의 실행을 예약할 수 있는 기능을 제공하는 Microsoft Windows의 구성 요소

• 해당 아티팩트는 지속적 공격을 위하여 악의적으로 활용될 수 있는 아티팩트

• 공격자가 자주 사용하는 기능이며, 악성 파일을 다운로드하기 전에 특정 조건을 기다리게 할 수 있는 아티팩트

(2) Task Scheduler 상세 내용

2-1. Kind of

• Windows OS Function

2-2. Information

• Attack's Malicious Activities for Persistent

2-3. Path

• Save when using 'at' or 'schtasks' command

  • %SystemDrive%\Windows\Tasks\*

  • %SystemDrive%\Windows\System32\Tasks\*

• Microsoft-Windows-TaskScheduler/Operational - Event Log

2-4. Characteristic

• This features frequently used by attackers

• It is possible that wait for certain preconditions before downloading malicious files

(3) 아티팩트 수집 및 분석 실습

3-1. FTK Imager > Windows > System32 > Tasks 폴더 아티팩트 확인

• 마우스 우클릭 - Export Files

Task Scheduler 아티팩트 확인 후에, 마우스 우클릭하면 Export Files 기능을 사용할 수 있다.

Export Files 기능을 통해 해당 아티팩트를 수집한다.

여기서 중요한 것은, 아티팩트 수집(추출)이나 출력 결과물 저장은 수집 대상물의 데이터 무결성을 위해 분석 환경에서 진행해야 하며, 가상 환경 공유 폴더나 이동식 매체로 지정해야 한다.

즉, 수집 도구에 의한 수집물은 '이동식 매체'로 저장하고 분석 결과도 수집 대상물에 저장되지 않도록 분석은 수집 대상물 PC가 아닌 분석용 로컬 PC(호스트)에서 진행해야 한다.

수집된 파일이나, 디렉토리는 수집 대상물의 디스크에 바로 저장되어서는 안 되며, 바로 공유 폴더  등의 이동식 매체에 저장되어야 데이터 무결성이 깨지지 않는다.

또한, 아티팩트를 수집할 시에 MAC 타임 보존은 필수적으로 숙지하고 진행한다.

위 [그림 3]은 해당 아티팩트 분석을 위해 분석 환경 공유 폴더로 해당 아티팩트를 지정해 준 화면이다.

3-2. Sublime Text 3 활용, Task Scheduler 아티팩트 분석

Adobe Acrobat Update Task라는 이름을 가진 xml 파일을 Sublime Text 3로 오픈한 화면이다.

• 해당 아티팩트는 Adobe Acrobat Update에 대한 등록 정보, 여러 Triggers(캘린더, 로그온 등)와 Boundary(시작, 끝), 주요 내용, 실행 파일 경로 등을 확인 가능

따로 분석 도구를 사용하지 않아도 분석이 가능하여, 매우 편리함을 주는 아티팩트인 것 같다.

그러나 지속적 공격을 위해 악의적으로 많이 활용되는 아티팩트이므로, 상세 분석을 진행할 필요성이 큰 아티팩트이다.

관련 아티팩트에 대한 문서나 자료가 많지 않아 우선 분석이랑 내용은 이 정도까지 하고, 내용은 추후에 계속 추가적으로 분석시키도록 하겠다.

[Windows Artifacts] Amcache

(1) Amcache란?

• 윈도우 7에서의 RecentFileCache.bcf 파일이 윈도우 8에서는 Amcache.hve 파일로 대체

• 프로그램 호환성 관리자와 관련된 레지스트리 하이브 파일

• 응용 프로그램의 실행 정보 저장

• 응용 프로그램의 실행 경로, 최초 실행 시간, 삭제 시간 정보 등 저장

• 프리패치 파일과 병행하면 프로그램의 전체적인 타임라인 구성 가능

(2) Amcache 상세 내용

2-1. Kind of

• Windows OS Function

2-2. Information

• File's All Metadata, Product Name, File Version, File Size, SHA-1 hash, Full Path, Etc.

2-3. Path

• %SystemDrive%\Windows\AppCompat\Programs\Amcache.hve

2-4. Characteristic

• Replacement for a RecentFileCache.bcf

• Hive structure

• Much more information RecentFileCache.bcf

2-5. Tools

• AmcacheParser

2-5-1. AmcacheParser : https://ericzimmerman.github.io

(3) 아티팩트 수집 및 분석 실습

3-1. FTK Imager > Windows > appcompat > Programs 폴더 Amcache 아티팩트 확인

• 마우스 우클릭 - Export Files

Amcache 아티팩트를 확인한 후에, 마우스를 우클릭하면 Export Files 기능을 통해 아티팩트 수집을 진행한다.

여기서 중요한 것은, 아티팩트 수집(추출)이나 출력 결과물 저장은 수집 대상물의 데이터 무결성을 위해 분석 환경에서 진행해야 하며, 가상 환경 공유 폴더나 이동식 매체로 지정해야 한다.

즉, 수집 도구에 의한 수집물은 '이동식 매체'로 저장하고 분석 결과도 수집 대상물에 저장되지 않도록 분석은 수집 대상물 PC가 아닌 분석용 로컬 PC(호스트)에서 진행해야 한다.

수집된 파일이나, 디렉토리는 수집 대상물의 디스크에 바로 저장되어서는 안 되며, 바로 공유 폴더  등의 이동식 매체에 저장되어야 데이터 무결성이 깨지지 않는다.

또한, 아티팩트를 수집할 시에 MAC 타임 보존은 필수적으로 숙지하고 진행한다.

위 [그림 3]은 해당 아티팩트 분석을 위해 분석 환경 공유 폴더로 해당 파일을 지정해 준 화면이다.

3-2. Registry Explorer 활용, Amcache 분석

원래는 Amcache Parser로 진행하려고 하였지만, 예상지 못한 오류 발생으로 인하여 Registry Explorer로 대체하였다.

Amcache.hve 파일과 LOG 파일들을 로드한 다음, CSV 파일로 만들어 분석을 진행한다.

3-3. CSV 파일 분석 (Sublime Text 3)

기존 Amcache 하이브 파일이라면, 데이터의 크기가 매우 커야 하며, 많은 양의 데이터를 담고 있어야 한다.

하지만, 호스트 Amcache 파일임에도 불구하고, 삭제한 기록도 존재하지 않는데 왜 데이터의 크기가 이렇게 작은지 모르겠다..

일단 간단하게 레코드 및 컬럼 분석을 진행해보자..

3-4. 레코드 및 컬럼 분석

• 해당 내용은 rlvknlg32.exe 파일에 대한 정보이며, 18은 values 값을 의미하며, 0은 서브키, 마지막에 보이는 시간은 가장 마지막으로 사용한 타임스탬프 정보 (레지스트리 분석 법과 동일)

Amcache 아티팩트의 데이터 크기가 매우 적어 제대로 된 분석을 수행할 수가 없다..

추후에 데이터 내용이 많은 Amcache를 분석하여 수정하도록 하고, 우선 분석 방법이랑 내용만 익히도록 하자..

(4) 추가 내용 정리

• Amcache는 윈도우 7에서의 'RecentFileCache.bcf' 파일이 윈도우 8부터 레지스트리 하이브 파일인 'Amcache.hve'로 대체 

•  최근 실행한 프로그램에 대한 정보를 저장하며, 실행 파일의 경로나 TimeStamp, PE 헤더 데이터와 파일 정보에 대한 여러 정보를 저장

• 작은 Hive 파일 구조이며, 루트키 아래의 File, Generic, Orphan, Programs 등 4개의 키를 가짐

• 포렌식 관점으로는 다음 내용과 같음

  • 모든 실행 파일의 목록, 전체 경로 확인

  • 파일의 최초 실행 시간, 삭제 시간 확인

  • 안티 포렌식 프로그램, 외부 저장장치 흔적 추적

# Reference

http://www.forensic-artifact.com/windows-forensics/amcache

https://www.ssi.gouv.fr/uploads/2019/01/anssi-coriin_2019-analysis_amcache.pdf

[Windows Artifacts] Recycle Bin

(1) Recycle Bin이란?

• 휴지통은 윈도우에서 파일을 삭제할 경우, 기본적으로 삭제된 파일은 휴지통(Recycle.Bin) 영역으로 이동됨

• 휴지통 이용 파일 삭제 시 변화로는 다음과 같음

  • 파일을 삭제할 경우 해당 파일의 MFT 엔트리(NTFS 경우) 삭제와 휴지통 폴더의 새로운 파일 이름으로 MFT 엔트리가 생성

  • 결과적으로 파일 삭제 시, 파일 메타데이터 정보의 변경만 일어나고 파일 내용(데이터 영역)은 변화 없음

• 휴지통 이용 파일 복원 시 변화로는 다음과 같음

  • 파일을 복원할 경우 휴지통 MFT 엔트리 삭제 후, 원본 파일 경로에 새로운 MFT 엔트리가 생성되며, 파일의 시간 정보는 삭제와 복원 시에 그대로 유지됨

• 휴지통은 설정한 최대 크기를 넘지 않을 경우, 삭제한 모든 파일 모두 복구가 가능하며, 최대 크기를 넘길 경우 오래된 파일부터 차례로 삭제

• 삭제된 파일 형식으로는 $R [임의 문자열] . [원본 파일 확장자]

• 원본 파일 경로와 삭제된 시간 등의 정보는 $I [임의 문자열] . [원본 파일 확장자] 파일로 관리

• user sid 정보를 확인한 후에, Recycle Bin 폴더에서 자신의 휴지통 분석이 가능

• 휴지통에는 악성코드가 숨어 있기도 하여, 사고 조사 시에 다음 패턴으로 휴지통 악성코드 식별이 가능

  • 휴지통 밑 최상위 루트에 혼자 단독적으로 존재하는 파일 (SID 폴더 하위가 아닌)

  • $I 혹은 $R 패턴 파일명이 아닌 파일이 휴지통에 존재하는 경우

(2) Recycle Bin 상세 내용

2-1. Kind of

• Windows OS Function

2-2. Information

• Deleted File Original Data / Metadata

2-3. Path

• root\$Recycle.Bin (OS Dependency)

2-4. Characteristic

• 'Shift + Delete' key does not go through the Recycle Bin

• Every Volume has a Recycle Bin

• Need to understand $I / $INFO2 mechanism

2-5. Tools

• RBCmd

2-5-1. RBCmd : https://ericzimmerman.github.io

(3) 아티팩트 수집 및 분석 실습

3-1. FTK Imager > root > $Recycle.Bin 아티팩트 확인

3-2. Recycle Bin 아티팩트 - Export Files

여기서 중요한 것은, 아티팩트 수집(추출)이나 출력 결과물 저장은 수집 대상물의 데이터 무결성을 위해 분석 환경에서 진행해야 하며, 가상 환경 공유 폴더나 이동식 매체로 지정해야 한다.

즉, 수집 도구에 의한 수집물은 '이동식 매체'로 저장하고 분석 결과도 수집 대상물에 저장되지 않도록 분석은 수집 대상물 PC가 아닌 분석용 로컬 PC(호스트)에서 진행해야 한다.

수집된 파일이나, 디렉토리는 수집 대상물의 디스크에 바로 저장되어서는 안 되며, 바로 공유 폴더  등의 이동식 매체에 저장되어야 데이터 무결성이 깨지지 않는다.

또한, 아티팩트를 수집할 시에 MAC 타임 보존은 필수적으로 숙지하고 진행한다.

위 [그림 4]는 해당 아티팩트 분석을 위해 분석 환경 공유 폴더로 해당 파일을 지정해 준 화면이다.

3-3. RBCmd 도구 실행 & 명령어 입력

RBCmd.exe 도구를 활용하여 수집한 아티팩트를 csv 파일로 만드는 작업을 [그림 5]와 같이 수행한다. (디렉토리 > csv)

3-4. csv 파일 확인 (Sublime Text3)

분석 결과인 csv 파일을 Sublime Text3로 오픈한 화면이다.

3-5. 레코드 & 컬럼 분석

하나의 파일을 예로 들어 분석하면, 다음과 같은 결과를 확인할 수 있음

• 삭제된 파일이 이동된 경로

• 삭제 파일 이름 & 확장자

• 삭제 되기 전 파일 경로 & 이름

• 파일 크기

• 삭제 시간

(4) user sid 확인 방법

4-1. user sid 확인

• whoami /user

다음과 같은 명령어로 해당 Desktop의 user sid 확인이 가능하다.

4-2. 전체 컴퓨터 모든 사용자 정보 확인

• whoami /all

다음과 같은 명령어로 전체 컴퓨터의 모든 사용자 정보 & user sid 정보 확인이 가능하다.

# Reference

http://forensic-proof.com/slides

[FP] 휴지통 포렌식

[Windows Artifacts] Jump Lists

(1) Jump Lists란?

• Windows 7 이전에는 Recent, UserAssist 이용하여 편의성을 위한 최근 목록 유지

• 하지만, 7부터는 Jump List 기능 추가

• 작업 표시줄에서 마우스 우클릭 시에 확인 가능

• 다음 항목으로 분류하여 저장

  • Recent (최근 항목)

  • Frequent (자주 사용하는 항목)

  • Tasks (작업)

  • Pinned (사용자 고정)

(2) Jump Lists 상세 내용

2-1. Kinds of

• Windows OS Function

2-2. Information

• Executed File

• Link File Count

• File Size

• Created / Modified / Access Time

2-3. Path

• %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\

  • AutomaticDestinations\* (Recent, Pinned)

  • CustomDestinations\* (Requent, Tasks)

2-4. Characteristic

• Each item has an App ID...

2-5. Tools

• JumpList Explorer

2-5-1. JumpList Explorer : https://ericzimmerman.github.io

(3) 아티팩트 수집 및 분석 실습

3-1. FTK Imager > Users > [username] > AppData > Roaming > Microsoft > Windows > Recent 해당 아티팩트 확인

• AutomaticDestinations 폴더와 CustomDestinations 폴더 확인

3-2. AutomaticDestinations & CustomDestinations - Export Files

여기서 중요한 것은, 아티팩트 수집(추출)이나 출력 결과물 저장은 수집 대상물의 데이터 무결성을 위해 분석 환경에서 진행해야 하며, 가상 환경 공유 폴더나 이동식 매체로 지정해야 한다.

즉, 수집 도구에 의한 수집물은 '이동식 매체'로 저장하고 분석 결과도 수집 대상물에 저장되지 않도록 분석은 수집 대상물 PC가 아닌 분석용 로컬 PC(호스트)에서 진행해야 한다.

수집된 파일이나, 디렉토리는 수집 대상물의 디스크에 바로 저장되어서는 안 되며, 바로 공유 폴더  등의 이동식 매체에 저장되어야 데이터 무결성이 깨지지 않는다.

또한, 아티팩트를 수집할 시에 MAC 타임 보존은 필수적으로 숙지하고 진행한다.

위 [그림 6]은 해당 아티팩트 분석을 위해 분석 환경 공유 폴더로 해당 파일을 지정해 준 화면이다.

3-3. JumpList Explorer 활용, 점프 리스트 아티팩트 분석

해당 아티팩트로 얻을 수 있는 정보는 다음과 같다.

• 해당 소스 파일에 대한 경로

• 점프 리스트 타입 (AutomaticDestinations & CustomDestinations)

• 해당 앱 ID & 상세 이름 (설명)

• 링크 파일 클릭 수

• 파일 크기

3-4. 상세 분석

JumpList Explorer 도구 하단에는 관련된 점프 리스트의 상세 정보를 볼 수 있는 화면이 있다.

관련 점프 리스트의 각각 엔트리 내용은 다음과 같다.

• Target MAC 타임 정보

• 호스트 이름(노트북 정보)

• MAC 주소

• 네트워크 공유 정보

• 파일 상세 경로

• Location Flags 

위와 같이 매우 다양한 정보들을 확인 가능하여 매우 유용한 아티팩트라고 할 수 있다.

(4) 추가 내용 정리

• 점프 리스트는 윈도우 7부터 새롭게 추가 된 기능으로, 응용 프로그램에 대한 사용 로그

• 작업 표시줄의 마우스 우클릭으로 점프 리스트를 확인 가능하며, 종류는 다음과 같음

  • Recent (사용자가 최근 접근한 파일)

  • Frequent (사용자가 빈번히 접근한 파일)

  • Tasks (응용 프로그램에서 지원하는 작업 목록)

  • Pinned (사용자가 고정 시킨 작업 목록)

• 포렌식적 관점으로는 다음과 같음

  • 문서, 프로그램 실행 유무

  • 자주 사용하는 문서, 프로그램 정보 확인

  • 최근에 사용한 문서, 프로그램 정보 확인

  • 사용자 행위 파악

  • 정보 유출 사건 분석

  • 사용자가 삭제하지 않는 이상, 운영체제 설치부터 지속적으로 로그 저장

• 사용자의 행위를 파악하거나 정보 유출 사건 분석에 큰 역할을 하는 아티팩트

• AutomaticDestinations는 운영체제가 자동으로 남기는 항목으로, 최근 사용한 목록이나 자주 사용되는 목록

• CustomDestinations는 응용 프로그램이 자체적으로 관리하는 항목을 뜻하며, 작업 목록과 같음

# Reference

http://www.forensic-artifact.com/windows-forensics/jumplist

http://forensic-proof.com/slides

[FP] 윈도우 7 - 점프 목록

[Windows Artifacts] Shortcut (LNK)

(1) Shortcut (LNK)란?

• 바로가기 파일(링크 파일)이라고도 불리며, 'Windows Shortcut', 공식 명칭은 'Shell Link'라고 불림

• 윈도우에만 존재하는 기능으로 응용 프로그램, 디렉토리, 파일 등의 객체를 참조하는 파일

• .lnk 확장자를 가지며, 명렁 줄이 아닌 GUI에서만 동작

• 응용 프로그램 설치 시에 바탕화면이나 시작 메뉴, 빠른 실행 폴더, 설치 폴더에 바로가기 생성이 가능하며, 사용자들도 필요에 따라 바로가기 생성이 가능

• 일반 파일과 동일하게 메타데이터와 MFT 엔트리를 갖고 있으며, 심볼릭 링크의 경우에 원본 파일을 가리키고 있는 것은 파일이 아닌 것으로 파일 시스템이 인식하기 때문에 MFT 엔트리를 가지고 있지 않아 두 기능이 다르다고 할 수 있음

• 시스템 사용자가 편의를 위해 사용하는 경우도 많지만, 운영체제가 자동 실행이나 최근 접근한 데이터, 자주 사용하는 파일이나 프로그램에 관한 정보를 관리할 때에 사용하기도 함

• 링크 대상 파일에 관한 생성, 접근, 수정 시간 정보 및 원본 위치 등에 관한 기록을 포함하고 있으므로, 정보 유출에 관한 조사나 시스템 사용에 관한 시간 관계를 정리할 때 유용하게 사용되는 경우가 많음

(2) Shortcut (LNK) 상세 설명

2-1. Kind of

• Windows File

2-2. Information

• Target Link File's Metadata

2-3. Path

• Can be created anywhere

• OS Dependency

  • %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\*.lnk

  • %UserProfile%\Appdata\Roaming\Microsoft\Windows\Start Menu\Programs\*.lnk

  • %UserProfile%\Appdata\Roaming\Microsoft\Internet Explorer\Quick Launch\*.lnk

2-4. Characteristic

• *.lnk may have MAC address, Volume Name / Type / Serial, Etc.

2-5. Tools

• LECmd

2-5-1. LECmd : https://ericzimmerman.github.io/

(3) 아티팩트 수집 및 분석 실습

3-1. FTK Imager > Users > [username] > AppData > Roaming > Microsoft > Windows > Recent 폴더 LNK 아티팩트 존재

여기서 중요한 것은, Shortcut(LNK) 파일 수집(추출)이나 출력 결과물 저장은 수집 대상물의 데이터 무결성을 위해 분석 환경에서 진행해야 하며, 가상 환경 공유 폴더나 이동식 매체로 지정해야 한다.

즉, 수집 도구에 의한 수집물은 '이동식 매체'로 저장하고 분석 결과도 수집 대상물에 저장되지 않도록 분석은 수집 대상물 PC가 아닌 분석용 로컬 PC(호스트)에서 진행해야 한다.

수집된 파일이나, 디렉토리는 수집 대상물의 디스크에 바로 저장되어서는 안 되며, 바로 공유 폴더  등의 이동식 매체에 저장되어야 데이터 무결성이 깨지지 않는다.

또한, 아티팩트를 수집할 시에 MAC 타임 보존은 필수적으로 숙지하고 진행한다.

위 [그림 3]은 해당 아티팩트 분석을 위해 분석 환경 공유 폴더로 해당 아티팩트를 지정해 준 화면이다.

LNK 파일은 evidence.001이라는 이름을 가진 파일로 정한 다음, 진행하였다.

3-2. LECmd 도구 활용, 바로가기 아티팩트 분석

3-3. LECmd 도구 결과, LNK 아티팩트 분석

분석 결과로는 Source file에 대한 경로와 MAC 타임, Target MAC 타임, 파일 크기, Volume 정보와 네트워크 공유 정보 등을 확인 가능하다.

또한, 파일의 실제 경로나 관리자 폴더, Short name, Long name, Desktop 정보, Droid 등 여러 중요 정보를 확인할 수 있어 매우 유용한 아티팩트라고 할 수 있다.

(4) 추가 내용 정리

• Shortcut(LNK) 아티팩트를 다음과 같이 정의할 수 있음

  • 특정 응용 프로그램일 때, 바탕화면에 자동으로 생성되는 파일

  • 사용자가 편의를 위해 바로가기를 생성했을 때 생기는 파일

  • 로컬 및 원격 데이터 파일, 문서를 열었을 때 생성되는 파일

  • 바탕화면 외에도 최근 문서 폴더, 시작 프로그램, 빠른 실행 등 다양한 곳에서도 생성

• 포렌식 관점으로는 다음과 같은 내용이 있음

  •  파일의 MAC Time

  • 볼륨 정보

  • 네트워크 공유 정보

  • 원본 위치

  • 시스템 이름

  • 원본 파일 추적 가능

• 윈도우 LNK 파일 폴더는 다음과 같음

  • 바탕화면(Desktop)

  • 최근 문서(Recent)

  • 시작 프로그램(Start)

  • 빠른 실행(Quick Launch)

• LNK 파일 형식은 다음과 같음

  • ShellLinkHeader(default)

  • LinkTargetIDList(optional)

  • LinkInfo(optional)

  • StringData(optional)

  • ExtraData(optional)

위 5가지 LNK 파일 형식 중 포렌식적으로 의미있는 정보를 저장한 구조는 ShellLinkHeader과 LinkInfo 구조이다.

# Reference

http://www.forensic-artifact.com/windows-forensics/linkfile