gardenia02 님의 블로그

Jumplist Explorer

gardenia02 — Mon, 4 Nov 2024 16:09:48 +0900

Jumplist

jumplist란?

윈도우7부터 새롭게 추가된 아티펙트로, 사용자가 자주 사용하거나 최근에 사용한 문서 또는 프로그램을 관리하는 링크 파일이다.

저장 경로

%UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\

AutomaticDestinations : 운영체제가 자동으로 남기며, 최근 사용목록 및 자주 사용되는 항목을 알 수 있다.
CustomDestinations : 응용프로그램이 자체적으로 남기며, 작업목록 항목을 알 수 있다.

유형이 "바로 가기"임을 확인할 수 있다.

종류

recent(최근 항목)
응용프로그램을 통해 최근 열람한 파일
frequent(자주 사용하는 항목)
응용프로그램을 통해 자주 열람하는 파일
pinned(사용자 고정)
응용프로그램의 사용이 종료되어도 사용자가 작업 표시줄에 아이콘을 남겨둔 파일
tasks(작업)
응용프로그램에서 지원하는 작업 목록
other types
최근 닫은 창, top sites 등

활용

문서/프로그램의 실행 유무를 판단할 수 있다.
자주 사용하는 문서/프로그램의 정보를 확인할 수 있다.
최근에 사용한 문서/프로그램의 정보를 확인할 수 있다.
사용자의 행위를 파악할 수 있다.
사용자가 직접 삭제하지 않는 이상 운영체제 설치 시점부터 지속적으로 로그가 저장된다.
따라서 애플리케이션의 사용 패턴을 추적할 수 있다.
외부 저장 장치에 접근한 기록을 확인할 수 있다.
사용자가 방문했던 웹사이트 URL을 확인할 수 있다.

Jumplist Explorer 사용법

먼저 kape를 사용해 관련 파일을 추출한다.

jumplist explorer을 열어 추출한 파일을 load한다.

다양한 정보를 확인할 수 있다.

참고 링크: http://www.forensic-artifact.com/windows-forensics/jumplist

디지털 포렌식 아티팩트 & 증거 분석 기법 공유 | 인섹시큐리티

[증거]테이블의 상단 칼럼 정보를 통해 앱ID, 앱ID에 따른 응용프로그램 이름, 경로, 마지막 접근 시간, MAC 주소 확인이 가능하고 우측 [세부 정보]테이블을 통해서도 확인 가능

www.forensic-artifact.com

Thumbnail cache와 Icon cache, Thumbcache Viewer 사용법

gardenia02 — Mon, 4 Nov 2024 15:36:30 +0900

Thumbnail cache

thumbnail cache란?

썸네일은 어떤 파일에 대한 미리보기를 나타내주는 것이다. 그래픽 이미지를 축소하였기 때문에 많은 양의 이미지를 빠르게 탐색할 수 있다.

윈도우는 자체적으로 파일의 썸네일을 생성하여 데이터베이스 형식으로 보관한다.

미리보기를 한 번이라도 했다면 썸네일이 데이터베이스에 저장되는데, 원본 파일이 삭제되더라도 썸네일은 삭제되지 않는다.

thumbnail cache 저장경로

%UserProfile%\AppData\Local\Microsoft\Windows\Explorer\thumbcache_*.db

각 파일은 bmp, png, jpg 파일을 여러 개 가지고 있다.

thumbnail cache의 활용

그래픽이나 동영상, 문서 등의 파일의 과거 존재 여부를 파악할 수 있다.
파일의 내용을 식별할 수 있다.
멀티미디어 파일의 경우, 파일 내의 임의의 프레임이 썸네일로 캐시된다.
문서 파일의 경우, 첫 번째 페이지가 썸네일로 캐시된다.

Icon cache

icon cache란?

windows 아이콘을 보여주기 위해서 가지고 있는 캐시이다.

아이콘 캐시는 사용자 컴퓨터 및 외부 저장매체에서 열람/실행한 응용프로그램들의 아이콘 캐시 정보를 저장하고 있다.

기록된 응용프로그램의 아이콘 캐시 정보는 삭제되지 않는다.

아이콘 캐시는 재방문 시 속도향상을 위해 사용된다.

icon cache 저장 경로

%UserProfile%\AppData\Local\Microsoft\Windows\Explorer\iconcache_*.db

각 파일은 bmp, png, jpg 파일을 여러 개 가지고 있다.

icon cache의 활용

아이콘을 보유하고 있는 악성코드 흔적 확인이 가능하다. 그러나 애드웨어류를 제외하고는 대부분의 악성코드가 아이콘을 보유하고 있지 않다. 동시에 악성 프로그램 설치 경로를 확인할 수 있다.
대부분의 안티포렌식 도구는 아이콘을 가지고 있는 프로그램이다. 따라서 사용자가 이와 같은 도구를 사용했는지 확인할 수 있다.
광학드라이브 사용 흔적을 확인 가능하다. 캐시된 아이콘 경로의 드라이브 문자를 확인해 광학드라이브에서의 프로그램 실행 여부를 알 수 있다.
일반 프로그램 사용 흔적을 확인 가능하다.
외부저장매체 사용 흔적을 확인 가능하다. 로컬 시스템에 외부저장매체를 연결하면 해당 아이콘이 로컬에 캐시된다.

Thumbcache Viewer 사용법

thumbcache viewer 프로그램을 실행하고, 원하는 thumbnail cache나 icon cache를 드래그한다.

참고로 thumbnail cache 파일은 kape를 통해 수집할 수 있다.

thumbnail cache

icon cache

아래와 같은 다양한 정보를 확인할 수 있다.

참고 링크: http://forensic-proof.com/archives/2092

썸네일 포렌식 분석 (Thumbnail Forensics) | FORENSIC-PROOF

forensic-proof.com

http://forensic-proof.com/archives/5168

IconCache를 최대한 활용하자 (Make the Best of the IconCache) | FORENSIC-PROOF

forensic-proof.com

https://brunch.co.kr/@bl4cksh33p/4

IconCache 파일 포맷 분석

IconCache 파일 구조와 포렌식적 의미를 알아보자 | 1. 아이콘 캐시 1.1 아이콘 캐시란? 아이콘 캐시는 사용자 컴퓨터 및 외부 저장매체에서 열람 및 실행한 응용프로그램들의 아이콘 캐시 정보

brunch.co.kr

BrowsingHistoryView, Hindsight

gardenia02 — Thu, 31 Oct 2024 13:22:38 +0900

web artifact

사용자로 인해 웹 어플리케이션과 웹 브라우저가 통신하며 생성된 흔적이다.

웹 브라우저 쿠키, 웹 브라우저 히스토리, 웹 브라우저 다운로드 목록, 웹 캐시 등을 통해 웹 사용 내역을 조사할 수 있다.

cookies
쿠키는 웹 서버가 생성하여 웹 브라우저로 전송하는 작은 파일 정보이다.
호스트 이름과 경로, 쿠키 수정시간, 쿠키 만료 시간, 값, 마지막 접근 시간 등을 알 수 있다.
tool: ChromeCookiesView
경로: %USERPROFILE%\AppData\Local\google\chrome\user data\default\Cookies
download file list
웹에서 다운로드 받은 파일의 안정적인 전송과 이력을 관리하기 위해 다운로드되는 파일의 목록을 관리하고 있다.
파일 저장 경로, 다운로드 url, 파일 크기, 다운로드 시간 등을 알 수 있다.
경로: %USERPROFILE%\AppData\Local\google\chrome\user data\default\history
caches
캐시된 data란 웹사이트를 방문할 때 자동으로 저장되는 data를 의미한다.
접속 URL, 캐시 파일 정보(저장 시간, 파일명, 타입, 크기, 경로) 등을 알 수 있다.
cached data의 종류: HTML, XML, JavaScript, Icon, Font, Text, JSON, Image, Audio, Video 등
tool: ChromeCacheView
login credentials
로그인 시 사용되는 아이디, 비밀번호와 같은 정보이다.
경로: %USERPROFILE%\AppData\Local\google\chrome\user data\{profile}/Login Data
%UserProfile%\AppData\Roaming\Microsoft\Protect\{SID}\{GUID}\
history
url, 페이지 title, 접속 시간, 접속 횟수 등을 알 수 있다.
특히 url을 통해서 user ID, 검색 키워드, timestamp의 정보를 얻을 수 있다.
tool: BrowsingHistoryView

BrowsingHistoryView

여러 웹 브라우저의 방문 데이터를 읽고 모든 방문기록을 하나의 테이블에 표시하는 프로그램이다.

방문기록을 가져올 기준과 웹브라우저 종류를 설정할 수 있다.

url, 페이지 title, 방문 시각과 횟수 등 자세한 정보를 확인할 수 있다.

Hindsight

hindsight_gui.exe를 실행시키면 아래와 같은 창이 뜬다.

http://localhost:8080/으로 접속해보자.

위의 Profile Path 부분에 autopsy등에서 extract한 파일 경로를 넣는다.

이 때 timezone은 우리나라에 맞춰 설정해준다.

run을 누르면 아래와 같이 뜨는데, save xlsx를 누르면 엑셀 파일을 다운받을 수 있다.

다음은 다운 받은 엑셀 파일이다.

timestamp, url, titile, visit count 등의 다양한 정보를 얻을 수 있다.

참고링크: https://biny-j.tistory.com/40

웹 아티팩트의 종류별 특징 & 분석방법 파악

웹 아티팩트(Web Artifcact)? 사용자 행위로 인해 웹 어플리케이션과 웹 브로우저가 통신하면서 생성되는 흔적이다. 웹 브라우저 쿠키, 웹 브라우저 히스토리, 웹 브라우저 다운로드 목록, 웹 캐시

biny-j.tistory.com

https://secuworld.tistory.com/34

웹 분석-Chrome

웹 분석-Chrome 아티팩트 저장 경로 Cache %USERPROFILE%\AppData\Local\google\chrome\user data\default\cache 폴더 History %USERPROFILE%\AppData\Local\google\chrome\user data\default\history 파일 History파일에는 사용자가 방문한 URL

secuworld.tistory.com

프리패치(Prefetch), PECmd와 WinPrefetchView 사용법

gardenia02 — Wed, 2 Oct 2024 15:17:25 +0900

Prefetch

윈도우 XP 이후 운영체제에서 제공하는 메모리 관리 정책이다. 이 파일은 특정 프로그램이 실행될 때 필요한 파일과 데이터를 미리 기록하여, 다음 실행 시 프로그램 로딩 시간을 줄이는 역할을 한다.

prefetch 파일의 주요 가능은 다음과 같다.

프로그램 실행 속도 향상: 프로그램 실행 시 필요한 파일과 데이터를 미리 로드하여 빠르게 실행할 수 있게 해준다.
사용자 경험 최적화: 자주 실행되는 프로그램들의 정보를 미리 캐싱해 둠으로써, 시스템 성능을 최적화한다.
진단 및 포렌식 자료: Prefetch 파일은 프로그램 실행 기록을 저장하기 때문에 시스템 진단이나 디지털 포렌식에서 유용한 정보를 제공한다.

prefetch 파일명은 *.pf이고, C:\Windows\Prefetch에 저장된다.

또한 prefetch 파일의 naming rule은 다음과 같다. 여기서 pf을 제외한 모든 문자는 대문자여야 한다.

[executable filename]-[Prefetch-hash(filepath)].pf

prefetch 파일을 HxD로 열어보면 MAM 시그니처가 보인다.

이는 압축된 상태의 파일로, decompress을 해야 파일 분석이 가능하다. decompress 하는 코드는 다음 링크를 참고해라.

https://kali-km.tistory.com/entry/XPRESS-Decompress-by-Python

XPRESS Decompress by Python

kali-km.tistory.com

압축 해제를 완료하면 다음과 같이 SCCA 시그니처가 보인다.

파일 포멧은 다음과 같다.

포렌식에서의 Prefetch 활용

prefetch 파일을 통해 알 수 있는 정보는 다음과 같다.

실행 파일의 이름과 전체 경로
실행 횟수
마지막 실행 시간
볼륨 관련 정보: 볼륨 장치 경로, 볼륨 일련 번호, 볼륨 생성 시간 등
참조된 리소스 목록: 실행에 필요한 DLL 파일들
참조된 파일 목록(최근에 사용된 파일들)
ex) Microsoft Word, Excel, PowerPoint, 7z, Bandizip, Notepad++, Visual Studio Code
생성 시간 (Created time)
prefetch 파일이 생성된 시각은 exe 파일이 처음 실행된 시각과 같다.
수정 시간 (Modified time)
접근 시간 (Access time)
마지막 실행 시간 (Last execution times)

Prefetch 파일 분석 도구: PECmd

먼저 PECmd.exe가 존재하는 경로로 들어간 후 아래의 명령어를 입력한다.

./PECmd -f [*.pf 파일 경로]

created time, modified time, last accessed time, last run time 등을 확인할 수 있다.

주의할 점은 이 시간들이 모두 영국 시간 기준(UTF+00:00)이기 때문에 한국 시간 (UTC+09:00)으로 변환해줘야 한다.

Prefetch 파일 분석 도구: WinPrefetchView

WinPrefetchView.exe를 실행시키면 다음과 같은 화면이 뜬다.

아이콘, 경로, 실행시각을 알 수 있고, 분석하고 싶은 파일을 더블 클릭하면 더 자세한 정보들이 나온다.

이벤트 로그, EvtxECmd 사용법

gardenia02 — Mon, 23 Sep 2024 16:02:13 +0900

이벤트 로그

컴퓨터 시스템에서 이벤트 로그는 하드웨어와 소프트웨어 이벤트에 대한 정보를 기록한다.

이 중에서 특히 windows 이벤트 로그는 일반적으로 세 가지 범주 중 하나로 분류된다.

시스템 관련 이벤트(System.evtx)
운영 체제 자체에서 발생하는 이벤트
보안 이벤트(Security.evtx)
로그인/로그아웃 이벤트
애플리케이션 이벤트(Application.evtx)
Windows에서 실행 중인 애플리케이션이 기록한 이벤트

이벤트 로그 분석 도구: EvtxECmd

이벤트 로그를 분석하는 도구 중 대표적인 것이 EvtxECmd이다. 이 툴의 사용법을 알아보자.

Security 로그 파일을 파싱해보자.

여기서 주의할 점은 powershell을 관리자 권한으로 실행시켜야 한다는 점이다.

이벤트 로그의 경로는 다음과 같다.

C:\Windows\System32\winevt\Logs

./EvtxECmd -f "이벤트 로그 파일 경로" --csvf [파일이름]

결과로 출력된 Event ID 각각의 의미는 다음과 같다:

4616: 시스템 시간 변경
4624: 성공적인 로그인 이벤트
누가 언제 로그인했는지를 추적하는 데 사용됨
4634: 사용자 로그오프 이벤트
4648: 명시적인 인증을 사용한 로그온 시도
4672: 특권 계정으로 로그온할 때 발생
관리자는 특권을 가진 계정으로 로그인할 때 추가 권한을 부여받는다. 이 이벤트는 특권이 필요한 작업을 수행할 수 있는 계정이 시스템에 로그인할 때 기록된다.
*특권
- SeSecurityPrivilege: 보안 로그 관리
- SeBackupPrivilege: 백업 파일 및 디렉터리
- SeRestorePrivilege: 파일 및 디렉터리 복원
- SeTakeOwnershipPrivilege: 파일이나 다른 리소스 소유권 획득
4673: 특권 서비스 요청 이벤트
사용자가 고급 권한을 요구하는 작업을 실행할 때 기록된다. 이는 관리자 권한이 필요한 작업을 수행하려는 시도를 나타낸다.
4797: 그룹 정책을 통해 원격 서비스 로그온이 발생함
4798: 로컬 그룹 멤버 자격을 쿼리하는 이벤트
누군가 시스템의 로컬 그룹 멤버십을 조회할 때 발생한다. 이는 시스템 권한 또는 계정 정보에 접근하려는 시도를 모니터링하는 데 중요하다.
4799: 로컬 그룹 멤버 자격을 쿼리한 결과를 나타냄
로컬 그룹 멤버십 쿼리에 대한 응답으로 발생하는 이벤트로, 조회된 그룹 멤버십 정보가 반환되었음을 의미한다.
5061: 암호화된 키가 사용된 이벤트
5379: 파일 무결성 확인을 위한 인증서 서비스 요청
5382: Cryptographic 모듈에서 키 삭제 작업이 발생했을 때 기록됨

추가로, 다음은 보안과 관련된 몇 가지 Event ID이다.

4735, 4737, 4739: 그룹 변경
보안 그룹의 변경은 권한을 상승시키거나 액세스 제어를 수정하려는 시도
4907: 감사 정책 변경
감사 설정이 반복적으로 변경되었음을 의미, 악의적인 활동을 숨기기 위해 변경되었을 가능성이 있음
5379: 자격 증명 관리자의 자격 증명 읽기
자격 증명을 탈취하려는 시도를 나타낼 수 있음

추가로, 위의 결과를 json 형태로 저장하고 싶으면 아래와 같이 입력하면 된다.

./EvtxECmd -f "이벤트 로그 파일 경로" --json "파일을 저장할 경로"

사용 가능한 기타 옵션은 다음 사진과 링크를 참고해라.

https://binaryforay.blogspot.com/2019/04/introducing-evtxecmd.html

Introducing EvtxECmd!!

I am happy to announce the first beta version of my Windows Event Log (evtx) parser. We will be talking about the command line version today...

binaryforay.blogspot.com

참고링크: https://medium.com/@hammazahmed40/exploring-evtxecmd-a-beginners-guide-to-parsing-windows-event-logs-0f67115ac7cd

Exploring EvtxECmd: A Beginner’s Guide to Parsing Windows Event Logs

Hey everyone! Today, we’re diving into a powerful command-line tool called EvtxECmd, part of Eric Zimmerman’s suite of forensic tools.

medium.com

https://www.crowdstrike.com/cybersecurity-101/observability/event-log/

What is an Event Log? Contents and Use - CrowdStrike

An event is any significant action or occurence that's recognized by a software system and is then recorded in a special file called the event log.