디지털 포렌식 수사에 있어 시간 정보는 중요한 요소이다. 윈도우즈의 NTFS(New Technology File System) 환경에서 획득할 수 있는 파일의 시간 정보는 생성, 수정, 접근, MFT entry 수정 시간이며 이는 파일의 복사나 이동, 이름 변경 등의 사용자의 행위에 따라 특징적으로 변경된다. 이러한 시간 변경 특징은 사용자의 데이터 이동 및 데이터 변경 등의 행위 분석에 활용할 수 있다. 본 논문에서는 윈도우즈 운영체제 별로 사용자의 행위에 따른 파일이나 폴더의 시간 변화를 분석하여 이를 바탕으로 시스템 분석시 사용자의 행위를 유추할 수 있도록 한다.
디지털 포렌식 수사에 있어 시간 정보는 중요한 요소이다. 윈도우즈의 NTFS(New Technology File System) 환경에서 획득할 수 있는 파일의 시간 정보는 생성, 수정, 접근, MFT entry 수정 시간이며 이는 파일의 복사나 이동, 이름 변경 등의 사용자의 행위에 따라 특징적으로 변경된다. 이러한 시간 변경 특징은 사용자의 데이터 이동 및 데이터 변경 등의 행위 분석에 활용할 수 있다. 본 논문에서는 윈도우즈 운영체제 별로 사용자의 행위에 따른 파일이나 폴더의 시간 변화를 분석하여 이를 바탕으로 시스템 분석시 사용자의 행위를 유추할 수 있도록 한다.
In digital forensics, the creation time, last modified time, and last accessed time of a file or folder are important factors that can indicate events that have affected a computer system. The form of the time information varies with the file system, depending on the user's actions such as copy, tra...
In digital forensics, the creation time, last modified time, and last accessed time of a file or folder are important factors that can indicate events that have affected a computer system. The form of the time information varies with the file system, depending on the user's actions such as copy, transfer, or network transport of files. Specific changes of the time information may be of considerable help in analyzing the user's actions in the computer system. This paper analyzes changes in the time information of files and folders for different operations of the NTFS and attempts to reconstruct the user's actions.
In digital forensics, the creation time, last modified time, and last accessed time of a file or folder are important factors that can indicate events that have affected a computer system. The form of the time information varies with the file system, depending on the user's actions such as copy, transfer, or network transport of files. Specific changes of the time information may be of considerable help in analyzing the user's actions in the computer system. This paper analyzes changes in the time information of files and folders for different operations of the NTFS and attempts to reconstruct the user's actions.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
그리고 동일한 행위에도 운영체제에 따라서 다른 시간 변화를 가진다. 본 논문에서는 여러 버전의 윈도우즈를 대상으로 파일이나 폴더의 시간 변화의 차이를 분석하였고 데이터가 MFT entry 내에 존재하는 경우와 클러스터에 존재하는 경우에 발생하는 시간 변화의 차이를 분석하였다.
본 논문에서는 여러 버전의 윈도우즈를 대상으로 행위에 따라 파일과 폴더의 시간 정보 변화를 확인하였다. NTFS의 경우 시간 정보를 $STANDARDJNFOR-MATION 속성과 $FILE_NAME 속성으로 관리하며 두 속성의 시간 정보를 비교하여 더 많은 행위를 유추할 수 있다.
본 사건은 약품 성분 검사 장비가 생성한 분석 결과 데이터 조작에 관한 내용으로 조작 시점과 원본 데이터의 위치를 파악하는 것이 주된 분석 내용이다. 사건의 분석 대상인 데이터를 생성하는 장비는 윈도우 운영체제가 설치된 컴퓨터에 의해 제어되며 분석된 결과를 해당 하드디스크에 자동적으로 저장하는데 , 이러한 분석 결과는 샘플의 순서에 따라 순서적인 폴더를 생성하고 분석된 데이터를 폴더 내부에 파일로 저장한다.
제안 방법
이는 여러 복합적이고 다양한 사용자의 행위에 따라 여러 형태의 시간 값의 변화가 일어날 수 있다는 뜻이며 반대로 이러한 시간 변화의 유형을 파악하여 사용자의 행위를 유추할 수도 있다. (3L 이에 본 논문에서는 여러 버전의 윈도우즈를 대상으로 NTFS에서 사용자의 행위에 따른 시간 정보의 변화를 정리하고 이를 통해 파일이나 폴더의 시간 정보를 통해 역으로 사용자의 행위를 유추할 수 있도록 한다.
분석 결과, 원본 A04P203.D를 포함한 총 5개의 폴더가 일괄 이동했으며 변조하고자 하는 폴더의 사본을 2003년 8월 13일 오후 ]2시 50분 19초에 생성했다. 그리고[그림 10)과 같이 실제 원본 폴더의 이름을 A04p203o.
각 윈도우즈 버전 별 행위에 따른 시간 정보 변화를 확인하기 위해 그림〔표 3〕과 같이 6종의 환경을 구축하였으며 MFT entry의 $FILE_NAME 속성의 시간 값의 변화를 확인하기 위해서 EnCase(3], The Sleuth Kit⑼와 The MFT Entry ParsertlO] 를 활용하였다.
대상 시스템은 윈도우즈 2000을 사용하는 것으로 분석되었으므로 본 논문에서 분석한 윈도우즈 Vista 미만 버전의 분석 내용을 적용한다. 순차적으로 폴더를 생성하여 분석된 데이터를 저장하는 장비의 폴더이름과 시간 구성 법칙에 어긋나는 A04p203o.
저장하였다. 또한 파일 수정시 파일의 크기가 늘어나고 줄어드는 경우를 포함하여 파일의 크기가 늘어나 클러스터를 더 할당할 경우와 할당된 클러스터가 줄어드는 경우, 또는 MFT entry 내에 존재하는 데이터의 크기가 늘어나 클러스터에 할당되는 경우를 모두 조사하였다. 하지만 실험 결과 파일 할당 크기의 변화는 시간 정보 변경 에 영 항을 주지 않았다.
버전의 분석 내용을 적용한다. 순차적으로 폴더를 생성하여 분석된 데이터를 저장하는 장비의 폴더이름과 시간 구성 법칙에 어긋나는 A04p203o.d 폴더를 발견하였으며 해당 위치의 폴더를 대상으로 $STANDARDJNFORMATION 속성의 시간 정보와 $FILE_NAME 속성의 시간 정보를 기반으로 분석을 수행하였다.
파일 내용 수정시의 시간 정보 변화 확인을 위해 윈도우즈의 NOTEPAD와 Microsoft Office WORD 2가지 응용 프로그램을 사용하여 문서 파일의 내용을 수정하고 저장하였다. 또한 파일 수정시 파일의 크기가 늘어나고 줄어드는 경우를 포함하여 파일의 크기가 늘어나 클러스터를 더 할당할 경우와 할당된 클러스터가 줄어드는 경우, 또는 MFT entry 내에 존재하는 데이터의 크기가 늘어나 클러스터에 할당되는 경우를 모두 조사하였다.
파일 덮어쓰기의 경우 옮겨지는 파일(A)과 덮혀지는 파일(B)의 파일 크기가 동일하거나 크거나 작은 경우를 포함하여 실험하였다. 실험 결과 Vista 미만의 버전에서는 옮겨지는 파일(A)의 마지막 수정 시각과 MFT entry 수정 시각이 덮혀지는 파일(B)에 적용된다.
파일의 '읽기 전용', '숨김' 속성에 변화를 주었을 때의 시간 정보 변화를 분석하였다. Vista 미만 버전의 경우 마지막 접근 시각과 MFT entry 수정 시각이 속성을 변경한 시각으로 바뀌었으며 Vista 이상 버전의 경우 MFT entry 수정 시각만 변화 된다.
대상 데이터
파일 복사는 "잘라내기 & 붙여넣기"와 "Ctrl + C & Ctrl+V"를 통한 복사 행위를 대상으로 실험하였다. 동일한 볼륨 내에서 파일을 복사하였을 경우 Vista 미만 버전까지는 원본의 수정 시각과 MFT entry 수정 시각이 유지되며 나머지 시간 정보는 복사를 수행한 시각으로 변경된다.
1.3 동일한 볼륨에서의 파일 이동
동일한 볼륨에서의 파일 이동의 경우 마우스를 통해 파일을 다른 폴더로 이동시키는 행위를 대상으로 실험하였다
. 파일의 데이터가 MFT entry 내에 존재하는 경우와 클러스터에 할당된 경우가 다른 시간 변화를 보인다.
속성의 종류에는 여러 가지가 있으며 MFT entry가 담고 있는 파일의 특성에 따라서 담기는 속성의 종류가 달라진다. 하나의 MFT entry 의 크기는 L024바이트이며 MFT entry 헤더의 크기는 42바이트이다. 남은 982바이트의 공간에 속성이 구성되게 되며 속성의 종류가 많아 982바이트 내에 표현할 수 없는 경우 MFT entry를 더 할당하여 표현하거나 별도의 클러스터를 할당하여 그 정보를 담도록 한다.
성능/효과
또한. MFT entry 내에 데이터 스트림을 관리하는 경우와 클러스터에 데이터 스트림을 할당하여 관리하는 경우에 행위에 따라 다른 시간 변화를 보이는 것을 확인하였다. 이 분석 결과를 통해 파일과 폴더의 시간 정보를 기반으로 사용자의 행위와 그 시점을 유추할 수 있다.
후속연구
이 분석 결과를 통해 파일과 폴더의 시간 정보를 기반으로 사용자의 행위와 그 시점을 유추할 수 있다. 또한 디지털 포렌식 수사를 진행함에 있어 수사관이 용의자의 컴퓨터 시스템으로부터 사건과 관련된 증거를 수집할 때에도 도움이 될 것이다.
참고문헌 (10)
G. Palmer, "A Road Map for Digital Forensic Research," technical report DTR-T001-0, Utica, New York, Nov. 2001.
C. Boyd and P. Forster, "Time and Date issues in forensic computing - a case study," Digital Investigation, vol. 1, no. 1, pp. 18-23, Feb. 2004.
Guidence Software, Inc. "EnCase," http://www.guidencesoftware.com
New Technology File System "NTFS," http://www.ntfs.com
K.P. Chow, F.Y.W. Law, M.Y.K. Kwan and P.K.Y. Lai, "The Rules of Time on NTFS File System," SADFE, pp. 71-85, Mar. 2007.
M. Geiger, "Evaluating Commercial Counter-Forensic Tools," Digital forensic research workshop, New Orleans, LA, pp. 39-41, Aug. 2005.
J.W. Bang, B.Y. Yoo, J.S. Kim, and S.J. Lee, "Analysis of Time Information for Digital Investigation," 5th International Joint Conference on INC, IMS and IDC, vol. 5, no. 1, pp. 1858-1864, Aug. 2009.
B. Carrier, File System Forensic Analysis, Addison-Wesly, Mar. 2005.
B. Carrier, "The Sleuth Kit," http://www.sleuthkit.org
J.W. Bang, "The MFT Entry Parser," http://www.forensic.or.kr
※ AI-Helper는 부적절한 답변을 할 수 있습니다.