비활성데이터 수집/분석

비활성데이터?

현재 데이터에서 변동이 없는 데이터 = 저장되어있는 파일형식의 데이터로 볼수있음.

 

비활성 데이터 수집목록

$MFT(파일시스템 메타데이터), $LogFile, $UsnJrnl:$J(파일 시스템 로그),

웹 아티팩트, 프리패치, 바로가기 파일, 레지스트리 하이브파일, 이벤트 로그

 

비활성데이터 수집방법

1. 수집하고자 하는 파일의 경로를 알고, 파일명도 알 때

2. 수집하고자 하는 파일의 파일명만 알 때

3. 수집하고자 하는 파일이 여러군데 분산되어 저장될 때 OR 확장자만 알 때

 

$MFT 파일 수집

파일의 경로와 파일명을 알기 때문에 바로 수집이 가능하다.

$LogFile도 마찬가지로 수집가능.

 

                                        

 

$UsnJrnl:$J 파일수집

$Extend에 들어가면 $UsnJrnl파일이 있는데 윈핵스에서는 왼쪽아이콘에 .... 모양이 있는파일은 

한번더 안으로 들어갈 수 있다. 수집해야할 파일은 $UsnJrnl:$J이기 때문에 안으로 들어가본다.

 

 

특이한점은 $UsnJrnl은 사이즈가 0이지만 안으로 들어가보면 $Max와 $J라는 파일이 존재한다.

Attr을 보면 ADS로 되어있는데 이것은 하나의 파일안에 여러개의 데이터가 있을수 있다는 뜻임.

 

 

 

WebCacheV01.dat 웹 아티팩트 수집(경로를 모른다고 가정)

 

윈핵스 기능을 활용

Explore recursively 옵션을 활용하면

현재 경로를 기준으로 모든 폴더를 탐색할 수 있다.

최상위 디렉토리에서 사용하면 된다.

 

모든 파일을 탐색한 후에 name 컬럼을 화살표 위 방향으로 정렬후에

파일을 하나 클릭하고 찾을 파일이름을 타이핑하면 그파일을 검색할 수 있다.

따로 검색기능은 없음.

 

 

 

파일이름이 같은 파일들이 있는데 윈도우에서는 같은 폴더에 같은 이름을 가진파일이 있을 수 없음

이름이 같은 파일들이 존재할 수 있는데 윈핵스 설정으로 확인이 가능하다.

 

option -> directory browser

 

full path 를 255로 설정한다.

 

 

 

설정후 이름이 같은 파일에 대한 경로를 확인할 수 있다.

 

 

 

프리패치파일 수집(확장자만 알때로 가정)

정렬기준이 여러개 일때 shift키를 누르고 컬럼을 클릭하면 정렬이 해제되고

다시 확장자명을 클릭하면 확장자명만으로 정렬기준을 잡을 수 있음.

 

 

가장 위의 파일을 클릭후 pf를 타이핑하여 pf 파일을 찾을 수 있다.

 

 

 

 

링크파일 수집.

동일한 방식으로 링크파일도 수집한다.

 

수집한 링크파일 바로 밑에서 다시 lnk를 검색하여 소문자 lnk확장자인 링크파일도 수집한다.

출력된 화면을보면 경로다 다른 파일이 많은데 이런경우 직접 찾아가서 수집하기 어렵기 때문에

이방식으로 수집하는것이 좋음.