INSIGHT FORENSIC, profile picture
Uploaded byINSIGHT FORENSIC
PDF, PPTX8,418 views

(Fios#02) 7. 윈도우 10 포렌식 분석

F-INSIGHT OPEN SEMINAR

Embed presentation

Download as PDF, PPTX
윈도우 10 포렌식 분석 플레인비트 대표 김진국 jinkook.kim@plainbit.co.kr
Digital Forensics Specialist Group Page 2/30 개요 1. 포렌식 아티팩트 비교 2. NEW 아티팩트
Digital Forensics Specialist Group Page 3/30 포렌식 아티팩트 비교
Digital Forensics Specialist Group Page 4/30 포렌식 아티팩트 비교 운영체제 비교 Windows 8.1 Windows 10 vs
Digital Forensics Specialist Group Page 5/30 포렌식 아티팩트 비교 메모리 수집 및 분석  기존 도구로 수집 가능!! • FDPro BY HBGary • Memorize BY MANDIANT • FTK Imager BY AccessData • … …  메모리 분석 • Volatility BY The Volatility Foundation ? • Redline BY MANDIANT ?
Digital Forensics Specialist Group Page 6/30 포렌식 아티팩트 비교 기본 프로세스 (Processes)  윈도우 8.1 + System - interrupts - smss.exe - csrss.exe - csrss.exe + wininit.exe + services.exe - svchost.exe - … - svchost.exe - spoolsv.exe - MsMpEng.exe - SearchIndexer.exe - lsass.exe - winlogon.exe - dwm.exe - explorer.exe - iexplore.exe  윈도우 10 + System - interrupts - smss.exe - csrss.exe - csrss.exe + wininit.exe + services.exe - svchost.exe - RuntimeBroker.exe - MicrosoftEdgeCP.exe - MicrosoftEdgeCP.exe - MicrosoftEdge.exe - browser_broker.exe - … - svchost.exe - spoolsv.exe - MsMpEng.exe - SearchIndexer.exe - lsass.exe + winlogon.exe - dwm.exe - explorer.exe - iexplore.exe - OneDrive.exe
Digital Forensics Specialist Group Page 7/30 포렌식 아티팩트 비교 기본 프로세스의 주요 변화  추가 내용 • MS Edge 브라우저 관련 프로세스  svchost.exe 하위에 존재  RuntimeBroker.exe  MicrosoftEdgeCP.exe  MicrosoftEdge.exe  brower_broker.exe • OneDrive 관련 프로세스 추가  OneDrive를 이용한 클라우드 서비스 지원  탐색기에서 바로 접근 가능
Digital Forensics Specialist Group Page 8/30 포렌식 아티팩트 비교 파일시스템 (Filesystem)  파일시스템 • NTFS 그대로 사용  볼륨 할당 • 부트 볼륨 크기 변화  100MB  500MB
Digital Forensics Specialist Group Page 9/30 포렌식 아티팩트 비교 파일시스템 로그 (Filesystem Logs)  로그 경로  변화 없음!! • $LogFile • $Extend$UsnJrnl:$J  분석 도구  분석 잘됨!! • NTFS LogTracker (△) • X-Ways Forensics (O) • EnCase Forensic (O)
Digital Forensics Specialist Group Page 10/30 포렌식 아티팩트 비교 프리패치 (Prefetch)  프리패치 경로  변화 없음!! • %SystemRoot%Prefetch  데이터 구조  변경됨!! • 압축 사용  압축 해제 : RtlDecompressBufferEx()  압축 알고리즘 : COMPRESSION_FORMAT_XPRESS_HUFF (XPRESS HUFFMAN)  윈도우 8.1 슈퍼패치에서 사용 (MEMO/MEMo  MAM) • 압축 확장  슈퍼패치만 압축  프리패치+ 슈퍼패치 모두 압축 • http://blog.digital-forensics.it/2015/06/a-first-look-at-windows-10-prefetch.html (w10pfdecomp.py) • https://github.com/libyal/libagdb/blob/master/documentation/Windows%20SuperFetch%20%28DB%29%20format.asciidoc
Digital Forensics Specialist Group Page 11/30 포렌식 아티팩트 비교 레지스트리 하이브 (Hives)  하이브 파일 경로, 구조  변화 없음!! 유형 윈도우 10 경로 User Account %UserProfileNTUSER.DAT %UserProfileAppDataLocalMicrosoftWindowsUsrClass.dat SYSTEM Account %SystemRoot%System32configsystemprofileNTUSER.DAT LocalService Account %SystemRoot%ServiceProfileLocalServiceNTUSER.DAT NetworkService Account %SystemRoot%ServiceProfileNetworkServiceNTUSER.DAT BBI, BCD-Template COMPONENT, DEFAULT DRIVERS, ELAM, FP SAM, SECURITY SOFTWARE, SYSTEM %SystemRoot%System32config##### RegBack %SystemRoot%System32configRegBack##### AmCache %SystemRoot%appcompatProgramsAmcache.hve Package(App) Setting %UserProfile%AppDataLocalPackages(AppName)Settingssettings.dat Package(App) Config %UserProfile%AppDataLocalPackages(AppName)ActivationStoreActivationStore.dat
Digital Forensics Specialist Group Page 12/30 포렌식 아티팩트 비교 링크 파일 (LNK)  링크 파일 경로, 구조  변화 없음!! 유형 윈도우 10 경로 Start Menu Places ProgramDataMicrosoftWindowsStart Menu Places*.lnk Start Menu ProgramDataMicrosoftWindowsStart MenuPrograms**.lnk UsersDefaultAppDataRoamingMicrosoftWindowsStart MenuPrograms**.lnk %UserProfile%AppDataRoamingMicrosoftWindowsStart MenuPrograms**.lnk %ServiceProfile%AppDataRoamingMicrosoftWindowsStart MenuPrograms**.lnk WinX Group UsersDefaultAppDataLocalMicrosoftWindowsWinXGroup#*.lnk %UserProfile%AppDataLocalMicrosoftWindowsWinXGroup#*.lnk %ServiceProfile%AppDataLocalMicrosoftWindowsWinXGroup#*.lnk Quick Launch UsersDefaultAppDataLocalMicrosoftInternet ExplorerQuick Launch*.lnk %UserProfile%AppDataLocalMicrosoftInternet ExplorerQuick Launch*.lnk %ServiceProfile%AppDataLocalMicrosoftInternet ExplorerQuick Launch*.lnk Send To UsersDefaultAppDataRoamingMicrosoftWindowsSendTo*.lnk %UserProfile%AppDataRoamingMicrosoftWindowsSendTo*.lnk %ServiceProfile%AppDataRoamingMicrosoftWindowsSendTo*.lnk Application(App) Shortcuts %UserProfile%AppDataLocalMicrosoftWindowsApplication Shortcuts*.lnk Recent %UserProfileAppDataRoamingMicrosoftWindowsRecent*.lnk Links %UserProfile%Links*.lnk
Digital Forensics Specialist Group Page 13/30 포렌식 아티팩트 비교 점프 목록 (Jump List)  점프 목록 경로, 구조  변화 없음!! 유형 윈도우 10 경로 Automatic %UserProfile%AppDataRoamingMicrosoftWindowsRecentAutomaticDestinations Custom %UserProfile%AppDataRoamingMicrosoftWindowsRecentCustomDestinations
Digital Forensics Specialist Group Page 14/30 포렌식 아티팩트 비교 썸네일 캐시 (ThumbCache)  썸네일 캐시 경로  변화 없음!! • %UserProfile%AppDataLocalMicrosoftWindowsExplorer  썸네일 캐시 파일  구조 약간 변화, 기존 도구 사용에 지장 없음!! 윈도우 8.1 윈도우 10 thumbcache_16.db thumbcache_32.db thumbcache_48.db thumbcache_96.db thumbcache_256.db thumbcache_1024.db thumbcache_1600.db thumbcache_idx.db thumbcache_sr.db thumbcache_exif.db thumbcache_wide.db thumbcache_wide_alternate.db thumbcache_16.db thumbcache_32.db thumbcache_48.db thumbcache_96.db thumbcache_256.db thumbcache_768.db thumbcache_1280.db thumbcache_1920.db thumbcache_2560.db thumbcache_idx.db thumbcache_sr.db thumbcache_exif.db thumbcache_wide.db thumbcache_wide_alternate.db thumbcache_custom_stream.db
Digital Forensics Specialist Group Page 15/30 포렌식 아티팩트 비교 아이콘 캐시 (IConCache)  아이콘 캐시 경로 변화 없음!! • %UserProfile%AppDataLocalIconCache.db (기존) • %UserProfile%AppDataLocalMicrosoftWindowsExplorericoncache*  아이콘 캐시 파일  구조 변화 없음!! 윈도우 8.1 윈도우 10 iconcache_16.db iconcache_32.db iconcache_48.db iconcache_96.db iconcache_256.db iconcache_1024.db iconcache_1600.db iconcache_idx.db iconcache_sr.db iconcache_exif.db iconcache_wide.db iconcache_wide_alternate.db iconcache_16.db iconcache_32.db iconcache_48.db iconcache_96.db iconcache_256.db iconcache_768.db iconcache_1280.db iconcache_1920.db iconcache_2560.db iconcache_idx.db iconcache_sr.db iconcache_exif.db iconcache_wide.db iconcache_wide_alternate.db iconcache_custom_stream.db
Digital Forensics Specialist Group Page 16/30 포렌식 아티팩트 비교 이벤트 로그 (Event Logs)  이벤트 로그 경로  변화 없음!! • %SystemRoot%System32winevtLogs*.evtx  주요 이벤트 로그 • Application.evtx • Security.evtx • System.evtx • Microsoft-Windows-Application-*.evtx • Microsoft-Windows-AppXDeployment*.evtx • Microsoft-Windows-DateTimeControlPanel*.evtx • Microsoft-Windows-DeviceSetup*.evtx • Microsoft-Windows-Kernel-Pnp/Device*.evtx • … …  Sysinternale SysMon (System Monitor)!!
Digital Forensics Specialist Group Page 17/30 포렌식 아티팩트 비교 휴지통 ($Recycle.Bin)  휴지통 경로  변화 없음!! • $Recycle.Bin[SID]  휴지통 파일  구조 일부 변화!! • $R : 삭제된 파일 데이터 • $I : 삭제 정보  일부 구조 변경  파일명에 따라 가변 크기를 가짐 (이전에는 544바이트로 고정)  Resident 파일…?
Digital Forensics Specialist Group Page 18/30 포렌식 아티팩트 비교 볼륨 섀도 복사본 (VSC; Volume Shadow Copy)  VSC 경로  변화 없음!! • System Volume Information  VSC 파일  구조 변화 없음!! • vssadmin 명령 그대로~!!  안티포렌식 기법의 일반화@ • VSC에 대한 정책을 마련하여 관리할 필요가 있음
Digital Forensics Specialist Group Page 19/30 포렌식 아티팩트 비교 윈도우 인덱싱 서비스 (Windows Indexing Service)  파일 경로  변화 없음!! • ProgramDataMicrosoftSearchDataApplicationsWindowsWindows.edb  파일 구조  ESE(Extensible Storage Engine) DB
Digital Forensics Specialist Group Page 20/30 포렌식 아티팩트 비교 알림 (Notification)  Modern UI (Metro UI) 앱 알림 • %UserProfile%AppDataLocalMicrosoftWindowsNotificationsappdb.dat • 캐시 형태로 저장, 아직 구조 역분석 (X)  XML 카빙(byte-level)을 통해 정보 획득 • ㅌ
Digital Forensics Specialist Group Page 21/30 포렌식 아티팩트 비교 윈도우 스토어 (Windows Store)  윈도우 앱 스토어 • %UserProfile%AppDataLocalPackagesMicrosoft.WindowsStore_############# • HKLMSOFTWAREMicrosoftWindowsCurrentVersionAppxAppxAllUserStore
Digital Forensics Specialist Group Page 22/30 포렌식 아티팩트 비교 윈도우 디펜더 (Windows Defender)  윈도우 AV • ProgramDataMicrosoftWindows Defender • 윈도우 10에서 더욱 강화!!  실시간 보호  클라우드 기반 보호  샘플 전송
Digital Forensics Specialist Group Page 23/30 NEW 아티팩트
Digital Forensics Specialist Group Page 24/30 NEW 아티팩트 Edge Browser  Edge 홈 폴더 • %UserProfile%AppDataLocalPackagesMicrosoft.MicrosoftEdge_############# • 브라우저 설정, 캐시 파일, 쿠키 파일 저장  Edge 아티팩트 • %UserProfile%AppDataLocalMicrosoftWindowsWebCacheWebCacheV01.dat • 히스토리, 쿠키 정보, 다운로드 목록 등
Digital Forensics Specialist Group Page 25/30 NEW 아티팩트 WebCache  WebCache 경로 • %UserProfile%AppDataLocalMicrosoftWindowsWebCacheWebCacheV01.dat  WebCache 기록되는 정보 • Internet Explorer (10+) • Package: microsoft.accountscontrol • Package: microsoft.microsoftedge • Package: microsoft.bingnews • Package: microsoft.office.onenote • Package: microsoft.windows.authhost • Package: microsoft.windows.cloudexperiencehost • Package: microsoft.windows.cortana • Package: microsoft.windowscommunicationapps • Package: microsoft.windowsstore
Digital Forensics Specialist Group Page 26/30 NEW 아티팩트 Cortana  윈도우 개인 비서 (created by Windows Phone 8.1) • %UserProfile%AppDataLocalPackagesMicrosoft.Windows.Cortana_############# • 음성 인식, Remind 기능, …
Digital Forensics Specialist Group Page 27/30 NEW 아티팩트 Email (Mail Application)  이메일 BODY • %UserProfile%AppDataLocalCommsUnistoredata**.dat • TXT, HTML 형식으로 저장  이메일 METADATA (ESE DB) • %UserProfile%AppDataLocalCommsUnistoreDBstore.vol • 이메일 헤더 • 주소록, 연락처 • 첨부파일 정보 • … …
Digital Forensics Specialist Group Page 28/30 추가 연구 주제
Digital Forensics Specialist Group Page 29/30 추가 연구 주제 윈도우 10에서 뭘 해보지?  OneDrive 이벤트 정리  윈도우 10 앱(App Packages) 흔적 정리 • OneDrive, OneNote, Skype, Facebook, Twitter, Windows Live, Maps, Excel, Word, PowerPoint, …  사건 유형 별 행위 아티팩트 분석 • 프로그램(EXE) 실행 • 문서 파일 실행 • 정보유출 아티팩트 분석 • 침해사고 아티팩트 분석 • … …
Digital Forensics Specialist Group Page 30/30 질문 및 답변
Digital Forensics Specialist Group Page 31/30 뒷풀이 장소

More Related Content

PPTX
디지털포렌식, 이것만 알자!
bySeungYong Yoon
 
PPT
Graphical user interface of web form
bymentorrbuddy
 
PPT
Summary of Trends in Cataloging
byWilliam Worford
 
PPT
Digital preservation
bySarika Sawant
 
PPTX
Artificial Intelligence role in Libraries
byMuhammad Yousuf Ali
 
PPTX
IT Helpdesk Monthly Report 2014-07.pptx
byssuser1fd96c
 
PDF
(Ficon2016) #1 디지털포렌식, 어디까지 왔나
byINSIGHT FORENSIC
 
PPTX
サーバを作ってみた (4)
bySeungYong Yoon
 
디지털포렌식, 이것만 알자!
bySeungYong Yoon
 
Graphical user interface of web form
bymentorrbuddy
 
Summary of Trends in Cataloging
byWilliam Worford
 
Digital preservation
bySarika Sawant
 
Artificial Intelligence role in Libraries
byMuhammad Yousuf Ali
 
IT Helpdesk Monthly Report 2014-07.pptx
byssuser1fd96c
 
(Ficon2016) #1 디지털포렌식, 어디까지 왔나
byINSIGHT FORENSIC
 
サーバを作ってみた (4)
bySeungYong Yoon
 

Viewers also liked

PDF
보안과 빅데이터의 올바른 접목
byMyounghun Kang
 
PDF
Power shell 악성코드 동향 20161118_차민석_디지털 포렌식 기술특강 공개판
byMinseok(Jacky) Cha
 
PDF
(160820) #fitalk fileless malware forensics
byINSIGHT FORENSIC
 
PDF
(Fios#03) 4. 파워셸 포렌식 조사 기법
byINSIGHT FORENSIC
 
PPTX
Windows 10 Forensics: OS Evidentiary Artefacts
byBrent Muir
 
PDF
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
byINSIGHT FORENSIC
 
PDF
RDP Packet Analysis 삽질기 - Basic Level 1
by남준 김
 
PPT
Windows forensic artifacts
byn|u - The Open Security Community
 
PDF
(Fios#03) 1. 실전 윈도 악성코드 메모리 분석
byINSIGHT FORENSIC
 
PPTX
DLL 인젝션
by광민 김
 
PDF
빅데이터와 보안
byMyounghun Kang
 
PDF
(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응
byINSIGHT FORENSIC
 
PDF
그로스 해킹(Growth Hacking)
byJong taek OH
 
PDF
2차원 평면상에서 가장 먼 두 점 구하기
by광민 김
 
PPTX
WinFE: The (Almost) Perfect Triage Tool
byBrent Muir
 
PDF
제12회 IT4U 강연회 - 악성코드 분석 잘하고 싶어요
byNAVER D2
 
PDF
악성코드 개념 및 대응 기술 (사이버 게놈 기술)
byseungdols
 
PPTX
Virtualization technology for security
byhanbeom Park
 
PDF
빅데이터 개요
bybeom kyun choi
 
PDF
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규
byChangKyu Song
 
보안과 빅데이터의 올바른 접목
byMyounghun Kang
 
Power shell 악성코드 동향 20161118_차민석_디지털 포렌식 기술특강 공개판
byMinseok(Jacky) Cha
 
(160820) #fitalk fileless malware forensics
byINSIGHT FORENSIC
 
(Fios#03) 4. 파워셸 포렌식 조사 기법
byINSIGHT FORENSIC
 
Windows 10 Forensics: OS Evidentiary Artefacts
byBrent Muir
 
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
byINSIGHT FORENSIC
 
RDP Packet Analysis 삽질기 - Basic Level 1
by남준 김
 
Windows forensic artifacts
byn|u - The Open Security Community
 
(Fios#03) 1. 실전 윈도 악성코드 메모리 분석
byINSIGHT FORENSIC
 
DLL 인젝션
by광민 김
 
빅데이터와 보안
byMyounghun Kang
 
(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응
byINSIGHT FORENSIC
 
그로스 해킹(Growth Hacking)
byJong taek OH
 
2차원 평면상에서 가장 먼 두 점 구하기
by광민 김
 
WinFE: The (Almost) Perfect Triage Tool
byBrent Muir
 
제12회 IT4U 강연회 - 악성코드 분석 잘하고 싶어요
byNAVER D2
 
악성코드 개념 및 대응 기술 (사이버 게놈 기술)
byseungdols
 
Virtualization technology for security
byhanbeom Park
 
빅데이터 개요
bybeom kyun choi
 
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규
byChangKyu Song
 

Similar to (Fios#02) 7. 윈도우 10 포렌식 분석

PDF
(120513) #fitalk windows 8 forensics
byINSIGHT FORENSIC
 
PDF
(120513) #fitalk windows 8 forensics
byINSIGHT FORENSIC
 
PDF
[2013 CodeEngn Conference 09] proneer - Malware Tracker
byCode Engn
 
PDF
(140118) #fitalk detection of anti-forensics artifacts using ioa fs
byINSIGHT FORENSIC
 
PDF
(130413) #fitalk trends in d forensics (mar, 2013)
byINSIGHT FORENSIC
 
PDF
(130316) #fitalk trends in d forensics (feb, 2013)
byINSIGHT FORENSIC
 
PDF
(FICON2015) #4 어떻게 가져갔는가?
byplainbit
 
PDF
(Ficon2015) #4 어떻게 가져갔는가, 그리고...
byINSIGHT FORENSIC
 
PDF
(130511) #fitalk utilization of ioc, ioaf and sig base
byINSIGHT FORENSIC
 
PDF
(FICON2015) #3 어떻게 들어왔는가?
byplainbit
 
PDF
(Ficon2015) #3 어떻게 들어왔는가
byINSIGHT FORENSIC
 
PDF
(130608) #fitalk trends in d forensics (may, 2013)
byINSIGHT FORENSIC
 
PDF
2.악성코드와 분석 방안
byYoungjun Chang
 
PDF
(130202) #fitalk trends in d forensics (jan, 2013)
byINSIGHT FORENSIC
 
PDF
(121013) #fitalk ie 10 forensics
byINSIGHT FORENSIC
 
PDF
(121013) #fitalk ie 10 forensics
byINSIGHT FORENSIC
 
PDF
(121202) #fitalk trends in d forensics (nov, 2012)
byINSIGHT FORENSIC
 
PDF
(121202) #fitalk trends in d forensics (nov, 2012)
byINSIGHT FORENSIC
 
PDF
악성코드 분석 도구
byYoungjun Chang
 
PDF
(120318) #fitalk web browser forensics - part i
byINSIGHT FORENSIC
 
(120513) #fitalk windows 8 forensics
byINSIGHT FORENSIC
 
(120513) #fitalk windows 8 forensics
byINSIGHT FORENSIC
 
[2013 CodeEngn Conference 09] proneer - Malware Tracker
byCode Engn
 
(140118) #fitalk detection of anti-forensics artifacts using ioa fs
byINSIGHT FORENSIC
 
(130413) #fitalk trends in d forensics (mar, 2013)
byINSIGHT FORENSIC
 
(130316) #fitalk trends in d forensics (feb, 2013)
byINSIGHT FORENSIC
 
(FICON2015) #4 어떻게 가져갔는가?
byplainbit
 
(Ficon2015) #4 어떻게 가져갔는가, 그리고...
byINSIGHT FORENSIC
 
(130511) #fitalk utilization of ioc, ioaf and sig base
byINSIGHT FORENSIC
 
(FICON2015) #3 어떻게 들어왔는가?
byplainbit
 
(Ficon2015) #3 어떻게 들어왔는가
byINSIGHT FORENSIC
 
(130608) #fitalk trends in d forensics (may, 2013)
byINSIGHT FORENSIC
 
2.악성코드와 분석 방안
byYoungjun Chang
 
(130202) #fitalk trends in d forensics (jan, 2013)
byINSIGHT FORENSIC
 
(121013) #fitalk ie 10 forensics
byINSIGHT FORENSIC
 
(121013) #fitalk ie 10 forensics
byINSIGHT FORENSIC
 
(121202) #fitalk trends in d forensics (nov, 2012)
byINSIGHT FORENSIC
 
(121202) #fitalk trends in d forensics (nov, 2012)
byINSIGHT FORENSIC
 
악성코드 분석 도구
byYoungjun Chang
 
(120318) #fitalk web browser forensics - part i
byINSIGHT FORENSIC
 

More from INSIGHT FORENSIC

PDF
(150124) #fitalk advanced $usn jrnl forensics (korean)
byINSIGHT FORENSIC
 
PDF
(150124) #fitalk advanced $usn jrnl forensics (english)
byINSIGHT FORENSIC
 
PDF
(140118) #fitalk 2013 e-discovery trend
byINSIGHT FORENSIC
 
PDF
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
byINSIGHT FORENSIC
 
PDF
(141031) #fitalk os x yosemite artifacts
byINSIGHT FORENSIC
 
PDF
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
byINSIGHT FORENSIC
 
PDF
(140716) #fitalk digital evidence from android-based smartwatch
byINSIGHT FORENSIC
 
PDF
(140625) #fitalk sq lite 소개와 구조 분석
byINSIGHT FORENSIC
 
PDF
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
byINSIGHT FORENSIC
 
PDF
(140625) #fitalk sq lite 삭제된 레코드 복구 기법
byINSIGHT FORENSIC
 
PDF
(130216) #fitalk reverse connection tool analysis
byINSIGHT FORENSIC
 
PDF
(130216) #fitalk potentially malicious ur ls
byINSIGHT FORENSIC
 
PDF
(130202) #fitalk china threat
byINSIGHT FORENSIC
 
PDF
(130119) #fitalk sql server forensics
byINSIGHT FORENSIC
 
PDF
(130119) #fitalk apt, cyber espionage threat
byINSIGHT FORENSIC
 
PDF
(130119) #fitalk all about physical data recovery
byINSIGHT FORENSIC
 
PDF
(130105) #fitalk trends in d forensics (dec, 2012)
byINSIGHT FORENSIC
 
PDF
(130105) #fitalk criminal civil judicial procedure in korea
byINSIGHT FORENSIC
 
PDF
(131116) #fitalk extracting user typing history on bash in mac os x memory
byINSIGHT FORENSIC
 
PDF
(131102) #fitalk get windows logon password in memory dump
byINSIGHT FORENSIC
 
(150124) #fitalk advanced $usn jrnl forensics (korean)
byINSIGHT FORENSIC
 
(150124) #fitalk advanced $usn jrnl forensics (english)
byINSIGHT FORENSIC
 
(140118) #fitalk 2013 e-discovery trend
byINSIGHT FORENSIC
 
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
byINSIGHT FORENSIC
 
(141031) #fitalk os x yosemite artifacts
byINSIGHT FORENSIC
 
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
byINSIGHT FORENSIC
 
(140716) #fitalk digital evidence from android-based smartwatch
byINSIGHT FORENSIC
 
(140625) #fitalk sq lite 소개와 구조 분석
byINSIGHT FORENSIC
 
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
byINSIGHT FORENSIC
 
(140625) #fitalk sq lite 삭제된 레코드 복구 기법
byINSIGHT FORENSIC
 
(130216) #fitalk reverse connection tool analysis
byINSIGHT FORENSIC
 
(130216) #fitalk potentially malicious ur ls
byINSIGHT FORENSIC
 
(130202) #fitalk china threat
byINSIGHT FORENSIC
 
(130119) #fitalk sql server forensics
byINSIGHT FORENSIC
 
(130119) #fitalk apt, cyber espionage threat
byINSIGHT FORENSIC
 
(130119) #fitalk all about physical data recovery
byINSIGHT FORENSIC
 
(130105) #fitalk trends in d forensics (dec, 2012)
byINSIGHT FORENSIC
 
(130105) #fitalk criminal civil judicial procedure in korea
byINSIGHT FORENSIC
 
(131116) #fitalk extracting user typing history on bash in mac os x memory
byINSIGHT FORENSIC
 
(131102) #fitalk get windows logon password in memory dump
byINSIGHT FORENSIC
 

(Fios#02) 7. 윈도우 10 포렌식 분석

  • 1.
    윈도우 10 포렌식분석 플레인비트 대표 김진국 jinkook.kim@plainbit.co.kr
  • 2.
    Digital Forensics SpecialistGroup Page 2/30 개요 1. 포렌식 아티팩트 비교 2. NEW 아티팩트
  • 3.
    Digital Forensics SpecialistGroup Page 3/30 포렌식 아티팩트 비교
  • 4.
    Digital Forensics SpecialistGroup Page 4/30 포렌식 아티팩트 비교 운영체제 비교 Windows 8.1 Windows 10 vs
  • 5.
    Digital Forensics SpecialistGroup Page 5/30 포렌식 아티팩트 비교 메모리 수집 및 분석  기존 도구로 수집 가능!! • FDPro BY HBGary • Memorize BY MANDIANT • FTK Imager BY AccessData • … …  메모리 분석 • Volatility BY The Volatility Foundation ? • Redline BY MANDIANT ?
  • 6.
    Digital Forensics SpecialistGroup Page 6/30 포렌식 아티팩트 비교 기본 프로세스 (Processes)  윈도우 8.1 + System - interrupts - smss.exe - csrss.exe - csrss.exe + wininit.exe + services.exe - svchost.exe - … - svchost.exe - spoolsv.exe - MsMpEng.exe - SearchIndexer.exe - lsass.exe - winlogon.exe - dwm.exe - explorer.exe - iexplore.exe  윈도우 10 + System - interrupts - smss.exe - csrss.exe - csrss.exe + wininit.exe + services.exe - svchost.exe - RuntimeBroker.exe - MicrosoftEdgeCP.exe - MicrosoftEdgeCP.exe - MicrosoftEdge.exe - browser_broker.exe - … - svchost.exe - spoolsv.exe - MsMpEng.exe - SearchIndexer.exe - lsass.exe + winlogon.exe - dwm.exe - explorer.exe - iexplore.exe - OneDrive.exe
  • 7.
    Digital Forensics SpecialistGroup Page 7/30 포렌식 아티팩트 비교 기본 프로세스의 주요 변화  추가 내용 • MS Edge 브라우저 관련 프로세스  svchost.exe 하위에 존재  RuntimeBroker.exe  MicrosoftEdgeCP.exe  MicrosoftEdge.exe  brower_broker.exe • OneDrive 관련 프로세스 추가  OneDrive를 이용한 클라우드 서비스 지원  탐색기에서 바로 접근 가능
  • 8.
    Digital Forensics SpecialistGroup Page 8/30 포렌식 아티팩트 비교 파일시스템 (Filesystem)  파일시스템 • NTFS 그대로 사용  볼륨 할당 • 부트 볼륨 크기 변화  100MB  500MB
  • 9.
    Digital Forensics SpecialistGroup Page 9/30 포렌식 아티팩트 비교 파일시스템 로그 (Filesystem Logs)  로그 경로  변화 없음!! • $LogFile • $Extend$UsnJrnl:$J  분석 도구  분석 잘됨!! • NTFS LogTracker (△) • X-Ways Forensics (O) • EnCase Forensic (O)
  • 10.
    Digital Forensics SpecialistGroup Page 10/30 포렌식 아티팩트 비교 프리패치 (Prefetch)  프리패치 경로  변화 없음!! • %SystemRoot%Prefetch  데이터 구조  변경됨!! • 압축 사용  압축 해제 : RtlDecompressBufferEx()  압축 알고리즘 : COMPRESSION_FORMAT_XPRESS_HUFF (XPRESS HUFFMAN)  윈도우 8.1 슈퍼패치에서 사용 (MEMO/MEMo  MAM) • 압축 확장  슈퍼패치만 압축  프리패치+ 슈퍼패치 모두 압축 • http://blog.digital-forensics.it/2015/06/a-first-look-at-windows-10-prefetch.html (w10pfdecomp.py) • https://github.com/libyal/libagdb/blob/master/documentation/Windows%20SuperFetch%20%28DB%29%20format.asciidoc
  • 11.
    Digital Forensics SpecialistGroup Page 11/30 포렌식 아티팩트 비교 레지스트리 하이브 (Hives)  하이브 파일 경로, 구조  변화 없음!! 유형 윈도우 10 경로 User Account %UserProfileNTUSER.DAT %UserProfileAppDataLocalMicrosoftWindowsUsrClass.dat SYSTEM Account %SystemRoot%System32configsystemprofileNTUSER.DAT LocalService Account %SystemRoot%ServiceProfileLocalServiceNTUSER.DAT NetworkService Account %SystemRoot%ServiceProfileNetworkServiceNTUSER.DAT BBI, BCD-Template COMPONENT, DEFAULT DRIVERS, ELAM, FP SAM, SECURITY SOFTWARE, SYSTEM %SystemRoot%System32config##### RegBack %SystemRoot%System32configRegBack##### AmCache %SystemRoot%appcompatProgramsAmcache.hve Package(App) Setting %UserProfile%AppDataLocalPackages(AppName)Settingssettings.dat Package(App) Config %UserProfile%AppDataLocalPackages(AppName)ActivationStoreActivationStore.dat
  • 12.
    Digital Forensics SpecialistGroup Page 12/30 포렌식 아티팩트 비교 링크 파일 (LNK)  링크 파일 경로, 구조  변화 없음!! 유형 윈도우 10 경로 Start Menu Places ProgramDataMicrosoftWindowsStart Menu Places*.lnk Start Menu ProgramDataMicrosoftWindowsStart MenuPrograms**.lnk UsersDefaultAppDataRoamingMicrosoftWindowsStart MenuPrograms**.lnk %UserProfile%AppDataRoamingMicrosoftWindowsStart MenuPrograms**.lnk %ServiceProfile%AppDataRoamingMicrosoftWindowsStart MenuPrograms**.lnk WinX Group UsersDefaultAppDataLocalMicrosoftWindowsWinXGroup#*.lnk %UserProfile%AppDataLocalMicrosoftWindowsWinXGroup#*.lnk %ServiceProfile%AppDataLocalMicrosoftWindowsWinXGroup#*.lnk Quick Launch UsersDefaultAppDataLocalMicrosoftInternet ExplorerQuick Launch*.lnk %UserProfile%AppDataLocalMicrosoftInternet ExplorerQuick Launch*.lnk %ServiceProfile%AppDataLocalMicrosoftInternet ExplorerQuick Launch*.lnk Send To UsersDefaultAppDataRoamingMicrosoftWindowsSendTo*.lnk %UserProfile%AppDataRoamingMicrosoftWindowsSendTo*.lnk %ServiceProfile%AppDataRoamingMicrosoftWindowsSendTo*.lnk Application(App) Shortcuts %UserProfile%AppDataLocalMicrosoftWindowsApplication Shortcuts*.lnk Recent %UserProfileAppDataRoamingMicrosoftWindowsRecent*.lnk Links %UserProfile%Links*.lnk
  • 13.
    Digital Forensics SpecialistGroup Page 13/30 포렌식 아티팩트 비교 점프 목록 (Jump List)  점프 목록 경로, 구조  변화 없음!! 유형 윈도우 10 경로 Automatic %UserProfile%AppDataRoamingMicrosoftWindowsRecentAutomaticDestinations Custom %UserProfile%AppDataRoamingMicrosoftWindowsRecentCustomDestinations
  • 14.
    Digital Forensics SpecialistGroup Page 14/30 포렌식 아티팩트 비교 썸네일 캐시 (ThumbCache)  썸네일 캐시 경로  변화 없음!! • %UserProfile%AppDataLocalMicrosoftWindowsExplorer  썸네일 캐시 파일  구조 약간 변화, 기존 도구 사용에 지장 없음!! 윈도우 8.1 윈도우 10 thumbcache_16.db thumbcache_32.db thumbcache_48.db thumbcache_96.db thumbcache_256.db thumbcache_1024.db thumbcache_1600.db thumbcache_idx.db thumbcache_sr.db thumbcache_exif.db thumbcache_wide.db thumbcache_wide_alternate.db thumbcache_16.db thumbcache_32.db thumbcache_48.db thumbcache_96.db thumbcache_256.db thumbcache_768.db thumbcache_1280.db thumbcache_1920.db thumbcache_2560.db thumbcache_idx.db thumbcache_sr.db thumbcache_exif.db thumbcache_wide.db thumbcache_wide_alternate.db thumbcache_custom_stream.db
  • 15.
    Digital Forensics SpecialistGroup Page 15/30 포렌식 아티팩트 비교 아이콘 캐시 (IConCache)  아이콘 캐시 경로 변화 없음!! • %UserProfile%AppDataLocalIconCache.db (기존) • %UserProfile%AppDataLocalMicrosoftWindowsExplorericoncache*  아이콘 캐시 파일  구조 변화 없음!! 윈도우 8.1 윈도우 10 iconcache_16.db iconcache_32.db iconcache_48.db iconcache_96.db iconcache_256.db iconcache_1024.db iconcache_1600.db iconcache_idx.db iconcache_sr.db iconcache_exif.db iconcache_wide.db iconcache_wide_alternate.db iconcache_16.db iconcache_32.db iconcache_48.db iconcache_96.db iconcache_256.db iconcache_768.db iconcache_1280.db iconcache_1920.db iconcache_2560.db iconcache_idx.db iconcache_sr.db iconcache_exif.db iconcache_wide.db iconcache_wide_alternate.db iconcache_custom_stream.db
  • 16.
    Digital Forensics SpecialistGroup Page 16/30 포렌식 아티팩트 비교 이벤트 로그 (Event Logs)  이벤트 로그 경로  변화 없음!! • %SystemRoot%System32winevtLogs*.evtx  주요 이벤트 로그 • Application.evtx • Security.evtx • System.evtx • Microsoft-Windows-Application-*.evtx • Microsoft-Windows-AppXDeployment*.evtx • Microsoft-Windows-DateTimeControlPanel*.evtx • Microsoft-Windows-DeviceSetup*.evtx • Microsoft-Windows-Kernel-Pnp/Device*.evtx • … …  Sysinternale SysMon (System Monitor)!!
  • 17.
    Digital Forensics SpecialistGroup Page 17/30 포렌식 아티팩트 비교 휴지통 ($Recycle.Bin)  휴지통 경로  변화 없음!! • $Recycle.Bin[SID]  휴지통 파일  구조 일부 변화!! • $R : 삭제된 파일 데이터 • $I : 삭제 정보  일부 구조 변경  파일명에 따라 가변 크기를 가짐 (이전에는 544바이트로 고정)  Resident 파일…?
  • 18.
    Digital Forensics SpecialistGroup Page 18/30 포렌식 아티팩트 비교 볼륨 섀도 복사본 (VSC; Volume Shadow Copy)  VSC 경로  변화 없음!! • System Volume Information  VSC 파일  구조 변화 없음!! • vssadmin 명령 그대로~!!  안티포렌식 기법의 일반화@ • VSC에 대한 정책을 마련하여 관리할 필요가 있음
  • 19.
    Digital Forensics SpecialistGroup Page 19/30 포렌식 아티팩트 비교 윈도우 인덱싱 서비스 (Windows Indexing Service)  파일 경로  변화 없음!! • ProgramDataMicrosoftSearchDataApplicationsWindowsWindows.edb  파일 구조  ESE(Extensible Storage Engine) DB
  • 20.
    Digital Forensics SpecialistGroup Page 20/30 포렌식 아티팩트 비교 알림 (Notification)  Modern UI (Metro UI) 앱 알림 • %UserProfile%AppDataLocalMicrosoftWindowsNotificationsappdb.dat • 캐시 형태로 저장, 아직 구조 역분석 (X)  XML 카빙(byte-level)을 통해 정보 획득 • ㅌ
  • 21.
    Digital Forensics SpecialistGroup Page 21/30 포렌식 아티팩트 비교 윈도우 스토어 (Windows Store)  윈도우 앱 스토어 • %UserProfile%AppDataLocalPackagesMicrosoft.WindowsStore_############# • HKLMSOFTWAREMicrosoftWindowsCurrentVersionAppxAppxAllUserStore
  • 22.
    Digital Forensics SpecialistGroup Page 22/30 포렌식 아티팩트 비교 윈도우 디펜더 (Windows Defender)  윈도우 AV • ProgramDataMicrosoftWindows Defender • 윈도우 10에서 더욱 강화!!  실시간 보호  클라우드 기반 보호  샘플 전송
  • 23.
    Digital Forensics SpecialistGroup Page 23/30 NEW 아티팩트
  • 24.
    Digital Forensics SpecialistGroup Page 24/30 NEW 아티팩트 Edge Browser  Edge 홈 폴더 • %UserProfile%AppDataLocalPackagesMicrosoft.MicrosoftEdge_############# • 브라우저 설정, 캐시 파일, 쿠키 파일 저장  Edge 아티팩트 • %UserProfile%AppDataLocalMicrosoftWindowsWebCacheWebCacheV01.dat • 히스토리, 쿠키 정보, 다운로드 목록 등
  • 25.
    Digital Forensics SpecialistGroup Page 25/30 NEW 아티팩트 WebCache  WebCache 경로 • %UserProfile%AppDataLocalMicrosoftWindowsWebCacheWebCacheV01.dat  WebCache 기록되는 정보 • Internet Explorer (10+) • Package: microsoft.accountscontrol • Package: microsoft.microsoftedge • Package: microsoft.bingnews • Package: microsoft.office.onenote • Package: microsoft.windows.authhost • Package: microsoft.windows.cloudexperiencehost • Package: microsoft.windows.cortana • Package: microsoft.windowscommunicationapps • Package: microsoft.windowsstore
  • 26.
    Digital Forensics SpecialistGroup Page 26/30 NEW 아티팩트 Cortana  윈도우 개인 비서 (created by Windows Phone 8.1) • %UserProfile%AppDataLocalPackagesMicrosoft.Windows.Cortana_############# • 음성 인식, Remind 기능, …
  • 27.
    Digital Forensics SpecialistGroup Page 27/30 NEW 아티팩트 Email (Mail Application)  이메일 BODY • %UserProfile%AppDataLocalCommsUnistoredata**.dat • TXT, HTML 형식으로 저장  이메일 METADATA (ESE DB) • %UserProfile%AppDataLocalCommsUnistoreDBstore.vol • 이메일 헤더 • 주소록, 연락처 • 첨부파일 정보 • … …
  • 28.
    Digital Forensics SpecialistGroup Page 28/30 추가 연구 주제
  • 29.
    Digital Forensics SpecialistGroup Page 29/30 추가 연구 주제 윈도우 10에서 뭘 해보지?  OneDrive 이벤트 정리  윈도우 10 앱(App Packages) 흔적 정리 • OneDrive, OneNote, Skype, Facebook, Twitter, Windows Live, Maps, Excel, Word, PowerPoint, …  사건 유형 별 행위 아티팩트 분석 • 프로그램(EXE) 실행 • 문서 파일 실행 • 정보유출 아티팩트 분석 • 침해사고 아티팩트 분석 • … …
  • 30.
    Digital Forensics SpecialistGroup Page 30/30 질문 및 답변
  • 31.
    Digital Forensics SpecialistGroup Page 31/30 뒷풀이 장소