Page info
- Page type : Background knowledge
- Knowledge location : 3. Windows System Analysis
- Other Reference : http://portable-forensics.com/document.html
- PFP & Manual downLoad : http://portable-forensics.com/download.html
윈도우 시스템 분석(Windows System
Analysis)
 |
| Image from dititaltrends.com |
결국, 디지털 포렌식 조사 시 조사자들이 가장 흔하게 접하게 되는 운영체제도 윈도우 계열일 수밖에 없다.
그러므로, 디지털 포렌식 조사자에게 윈도우 시스템의 분석 능력은 필수도, 선택도 아닌 기본중의 기본이자 때로는 전부이기도 한 것이다.
윈도우 계열의 시스템을 조사하기 위해서는 타 운영체제에 비해, 유난히 많은 공부가 필요한데, 원인은 역시 높은 점유율에 있다. 점유율이 높은만큼 전용 어플리케이션이 많고, 이에 따라 다양한 흔적이 시스템에 잔존하게 된다. 또한 시스템의 운용을 담당하는 번들 프로그램 역시도 전용 포맷을 사용하는 경우가 많다는 것도 윈도우 계열 운영체제의 특징이다.
그리고 이러한 흔적들에 대한 정보를 사전에 파악 하여 습득해 두는 것이 디지털 포렌식 조사자의 기본적인 소양이기 때문에, 윈도우 시스템의 분석을 위해서는 다양한 흔적들에 대한 선행 학습이 필요하다.
정리하자면, 결국 디지털 포렌식 분야의 입문자가 윈도우 시스템의 분석 기술을 선행적으로 익혀야 하는 이유는, 첫째도 둘째도 셋째도 점유율이 높기 때문이다.
또한, 조사를 위한 사전 습득 기술이 다양하게 존재하기 때문에, 잘 익혀둘 경우 다른 운영체제의 분석 기술에 대해서는 상대적으로 쉬운 습득이 가능하므로 깊이 있게 학습해둘 필요가 있다.
윈도우 시스템 아티팩트 분석
시스템 아티팩트란, 시스템이 운용되면서 사용자 또는 운영체제에 의해 남게되는 모든 흔적을 의미한다. 따라서, 시스템 아티팩트의 항목은 정의되기가 힘들며, 지금도 꾸준히 포렌식 기술 연구자들에 의해 여러가지 아티팩트가 새로 공개되고 있다.
훌륭한 분석가라면, 아티팩트의 공개 동향에 항상 눈과 귀를 열고 즉각적으로 분석에 활용할 줄 알아야 하겠다.
여담으로, 사용자와 운영체제에 의해 남겨지는 흔적들은 각각 보관 증거와 생성 증거로 그 흔적의 의미가 다소 다른데, 해당 내용은 PFP 소개(2)-디지털 증거에서 확인할 수 있다.
대부분의 흔적을 로그파일에 텍스트로 남기는 *nix계열의 시스템과 달리 윈도우는 시스템 운용을 위한 어플리케이션을 통해 다양한 파일 포멧에 체계적으로 흔적을 보관하는 편이다.
본 포스팅에서는 아티팩트의 의미만 파악하고 넘어가도록 하자. PFP 프로젝트에서 다루고 있는 윈도우 시스템 아티팩트의 내용에 대해서는 윈도우 아티팩트 분석(Windows Artifact Analysis)에서 확인할 수 있다.
(PFP, PFP 메뉴얼 다운로드)
PFP 프로젝트에 포함된 아티팩트는 웹, 학술단체에 공개된 내용을 대부분 포함하고 있으며, 앞으로도 꾸준히 업데이트 될 것이다. (아티팩트 정보에 대한 조언은 프로젝트 발전에 큰 힘이 됩니다.)
윈도우 레지스트리 분석
레지스트리는 윈도우 시스템에서 운영체제 및 어플리케이션에 관한 각종 설정 정보를 담고 있는 데이터베이스이다. 레지스트리도 결국은 시스템 아티팩트의 일종이지만, 윈도우 시스템 분석에 수많은 정보를 제공하고 있고, 레지스트리 자체에 대해서도 정밀한 분석을 요구하는 경우도 많기 때문에 늘 특별한 관심속에 조사되는 아티팩트이다.
PFP 프로젝트에서도 역시 윈도우 레지스트리에 대한 내용은 아티팩트 분석과 따로 분리하여 다루고 있다. 프로젝트에서 다루는 레지스트리 분석에 관한 내용은 윈도우 레지스트리 분석(Windows Registry Analysis)에서 확인할 수 있으며, 역시 꾸준히 업데이트 될 것이다.
윈도우 메모리 분석
메모리는 사실, 주기억 장치로서의 역할을 수행하기 위해 운영체제보다는 중앙 처리장치에 그 특징이 기인하기도 한다. 따라서 주기억 장치에 대한 분석을 골자로하여 통합적인 분석 방법론이 정립되는 것이 올바르다는 생각은 필자에게도 있다. 그리고 현재 그 내용을 전 세계적으로 가장 잘 정립하고 공개하고 있는 것이 볼라틸리티 프로젝트이다.
본 프로젝트의 윈도우 메모리 분석 파트에서는 윈도우 시스템에서 추출된 메모리에 관련하여 얻어낼 수 있는 정보와 그에 대한 활용 방안을 정립하는 것을 목적으로 한다.
참고 - 윈도우 메모리 분석(Windows Memory Analysis)
윈도우 계열의 시스템을 조사하기 위해서는 타 운영체제에 비해, 유난히 많은 공부가 필요한데, 원인은 역시 높은 점유율에 있다. 점유율이 높은만큼 전용 어플리케이션이 많고, 이에 따라 다양한 흔적이 시스템에 잔존하게 된다. 또한 시스템의 운용을 담당하는 번들 프로그램 역시도 전용 포맷을 사용하는 경우가 많다는 것도 윈도우 계열 운영체제의 특징이다.
그리고 이러한 흔적들에 대한 정보를 사전에 파악 하여 습득해 두는 것이 디지털 포렌식 조사자의 기본적인 소양이기 때문에, 윈도우 시스템의 분석을 위해서는 다양한 흔적들에 대한 선행 학습이 필요하다.
정리하자면, 결국 디지털 포렌식 분야의 입문자가 윈도우 시스템의 분석 기술을 선행적으로 익혀야 하는 이유는, 첫째도 둘째도 셋째도 점유율이 높기 때문이다.
또한, 조사를 위한 사전 습득 기술이 다양하게 존재하기 때문에, 잘 익혀둘 경우 다른 운영체제의 분석 기술에 대해서는 상대적으로 쉬운 습득이 가능하므로 깊이 있게 학습해둘 필요가 있다.
윈도우 시스템 아티팩트 분석
시스템 아티팩트란, 시스템이 운용되면서 사용자 또는 운영체제에 의해 남게되는 모든 흔적을 의미한다. 따라서, 시스템 아티팩트의 항목은 정의되기가 힘들며, 지금도 꾸준히 포렌식 기술 연구자들에 의해 여러가지 아티팩트가 새로 공개되고 있다.
훌륭한 분석가라면, 아티팩트의 공개 동향에 항상 눈과 귀를 열고 즉각적으로 분석에 활용할 줄 알아야 하겠다.
여담으로, 사용자와 운영체제에 의해 남겨지는 흔적들은 각각 보관 증거와 생성 증거로 그 흔적의 의미가 다소 다른데, 해당 내용은 PFP 소개(2)-디지털 증거에서 확인할 수 있다.
대부분의 흔적을 로그파일에 텍스트로 남기는 *nix계열의 시스템과 달리 윈도우는 시스템 운용을 위한 어플리케이션을 통해 다양한 파일 포멧에 체계적으로 흔적을 보관하는 편이다.
본 포스팅에서는 아티팩트의 의미만 파악하고 넘어가도록 하자. PFP 프로젝트에서 다루고 있는 윈도우 시스템 아티팩트의 내용에 대해서는 윈도우 아티팩트 분석(Windows Artifact Analysis)에서 확인할 수 있다.
(PFP, PFP 메뉴얼 다운로드)
PFP 프로젝트에 포함된 아티팩트는 웹, 학술단체에 공개된 내용을 대부분 포함하고 있으며, 앞으로도 꾸준히 업데이트 될 것이다. (아티팩트 정보에 대한 조언은 프로젝트 발전에 큰 힘이 됩니다.)
윈도우 레지스트리 분석
레지스트리는 윈도우 시스템에서 운영체제 및 어플리케이션에 관한 각종 설정 정보를 담고 있는 데이터베이스이다. 레지스트리도 결국은 시스템 아티팩트의 일종이지만, 윈도우 시스템 분석에 수많은 정보를 제공하고 있고, 레지스트리 자체에 대해서도 정밀한 분석을 요구하는 경우도 많기 때문에 늘 특별한 관심속에 조사되는 아티팩트이다.
PFP 프로젝트에서도 역시 윈도우 레지스트리에 대한 내용은 아티팩트 분석과 따로 분리하여 다루고 있다. 프로젝트에서 다루는 레지스트리 분석에 관한 내용은 윈도우 레지스트리 분석(Windows Registry Analysis)에서 확인할 수 있으며, 역시 꾸준히 업데이트 될 것이다.
윈도우 메모리 분석
메모리는 사실, 주기억 장치로서의 역할을 수행하기 위해 운영체제보다는 중앙 처리장치에 그 특징이 기인하기도 한다. 따라서 주기억 장치에 대한 분석을 골자로하여 통합적인 분석 방법론이 정립되는 것이 올바르다는 생각은 필자에게도 있다. 그리고 현재 그 내용을 전 세계적으로 가장 잘 정립하고 공개하고 있는 것이 볼라틸리티 프로젝트이다.
본 프로젝트의 윈도우 메모리 분석 파트에서는 윈도우 시스템에서 추출된 메모리에 관련하여 얻어낼 수 있는 정보와 그에 대한 활용 방안을 정립하는 것을 목적으로 한다.
참고 - 윈도우 메모리 분석(Windows Memory Analysis)
댓글 없음:
댓글 쓰기
질문이나 조언은 언제든 환영입니다.
악의적 댓글이나 무조건적인 비방은 삼가주세요.