Windows 8

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

운영체제 개요

윈도우는 Microsoft에서 개발한 운영체제로 윈도우 1.0을 시작으로 윈도우 8에 이르기까지 사용자들이 가장 많이 사용하는 운영체제로 자리 잡았다. 2013년 9월 조사된 운영체제 시장 점유율에서 보면 전체 운영 시장 점유율의 90%를 윈도우 운영체제가 다음 그림과 같이 점유하고 있다.

2013 윈도우 운영체제 점유율

2012년 10월 26일 출시된 윈도우 8은 윈도우 운영체제 중 최신 운영체제로 출시 이후 지속적으로 운영체제 시장 점유율이 증가하고 있고 출시 초기에 지적되던 몇 가지 문제점을 개선한 윈도우 8.1을 2013년 10월 17일에 출시하여 업데이트를 진행하였다.

윈도우 8 시장 점유율 증가 그래프


윈도우 8은 기존 윈도우 7 사용자가 쉽게 윈도우 8 환경에 적응하도록 윈도우 7 커널을 기반으로 만들어졌으며 많은 부분이 윈도우 7과 호환된다. 사용자 인터페이스 측면에서 대부분 유사한 점을 가지고 있으며 새로운 기능으로는 태블릿 환경을 겨냥한 메트로 UI와 보안을 위한 파일 삭제, 새로운 백업 기능인 File History 등의 기능이 추가되었다.

운영체제 구성

윈도우 8에서는 기존의 부팅 절차와 달리 새롭게 지원하는 Secure Boot와 Measured Boot 메커니즘이 존재한다.

윈도우 8에 적용된 UEFI(Unified Extensible Firmware Interface)는 PC의 차세대 펌웨어 인터페이스로 부팅 과정에서 운영체제가 플랫폼 펌웨어와 통신하는 표준 방식을 정의하기 위해 개발되었다. UEFI는 ‘Secure Boot’라는 펌웨어 유효성 검사 프로세스를 사용하며 이를 통해 운영체제 로드 전 서명이 있는 인증된 ‘정상’코드와 부팅 로더만 실행되게 하여 안티-멀웨어 제품의 로드를 차단하는 형태의 악성 행위를 방지할 수 있다. UEFI에서의 보안 부팅 경로는 아래 그림과 같다.

UEFI 보안 부팅 절차


UEFI의 작동 방식은 다음과 같다. PC 전원이 켜졌을 때 운영체제 실행을 위한 준비 단계로 프로세서, 메모리 및 하드웨어 주변 기기를 구성하는 코드가 실행되며 펌웨어는 네트워크 카드, 저장 장치 또는 비디오 카드 드의 하드웨어 주변 기기에 있는 펌웨어 코드의 서명을 확인하고 운영체제 로더로 이를 전달한다. 이 부분에서 펌웨어는 펌웨어 모듈에 내장된 서명을 확인하고 서명 데이터베이스와 비교하여 일치하는 모듈의 실행만을 허용한다. UEFI를 지원하지 않는 경우에는 기존에 사용되어온 MBR(Master Boot Record)을 사용한다

신규 항목

윈도우 8에는 아래와 같이 새로운 항목들이 추가 되었다.

데이터 수집

활성 시스템

윈도우 8 이전의 윈도우 운영체제에는 운영체제에서 문제가 발생했을 때 당시의 메모리를 덤프 할 수 있는 크래시 덤프 기능이 있다. 크래시 덤프의 종류는 자동 메모리 덤프, 커널 메모리 덤프, 전체 메모리 덤프가 있다. 윈도우 8부터는 3가지 덤프 기능에 “자동 메모리 덤프”라는 종류가 추가되었다. 자동메모리 덤프는 윈도우 2012와 윈도우 8에 기본옵션으로 존재하며 시스템이 관리하는 페이지 파일 구성을 지원한다. 자동 메모리 덤프는 시스템 속성의 시작 및 복구 대화상자에서 시스템 오류의 디버깅 정보 쓰기에 ‘자동 메모리 덤프’가 체크되어 있으면 덤프가 가능하다. 윈도우 8은 윈도우 7과 마찬가지로 Mini, Kernel, Complete Memory옵션을 지원한다. 윈도우 8은 윈도우 7과 달리 RAM 용량보다 더 작게 페이지파일(PageFile)사이즈를 줄일 수 있도록 SMSS Session Manager Subsystem(%SystemRoot%\System32\smss.exe)는 Microsoft Windows NT OS의 구성요소이다. 프로세스를 허용한다. 윈도우 8 메모리 덤프 설정(Windows 8 Memory Dump Settings)은 “제어판 → 시스템 및 보안 → 시스템 → 고급시스템설정 → 시작 및 복구 설정”에서 확인 할 수 있다. 또한 레지스트리의 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\CrashControl]에서 확인할 수 있다.

자동메모리 덤프 선택 화면

비활성 시스템

윈도우 8을 사용하는 기기로는 데스크톱, 랩톱, 태블릿PC가 있다. 데스크톱과 랩톱에서는 저장매체를 분리하여 디스크 이미징을 수행한다.

저장매체를 분리하여 이미징을 수행하는 모습

위의 그림처럼 분리된 하드 디스크를 쓰기 방지 장치와 연결한 후 디스크 이미징을 수행할 수 있는 프로그램을 이용하여 이미징을 수행하거나 디스크 이미징을 수행하는 하드웨어 기기를 사용하여 디스크 이미징을 수행할 수 있다. 태블릿PC의 경우는 데스크톱, 랩톱의 경우보다 저장매체 분리에 어려움이 있다. 윈도우 8을 사용하는 태블릿PC에서 저장매체를 분리하려면 디스플레이를 분해하여 내부를 확인하여야한다. 디스플레이를 분해하려면 접착된 면을 히트 건으로 녹이거나 별도의 도구를 사용하여 뜯어내야한다. 아래 그림처럼 디스플레이를 분리하면 메인보드를 확인할 수 있다.

윈도우 8 태블릿PC의 디스플레이 분해 모습

메인보드를 분리하면 아래 그림처럼 뒷면에 mSATA-SSD가 연결된 것을 확인할 수 있다.

저장매체가 연결된 모습

연결된 mSATA-SSD를 분리하고 나면 쓰기 방지 장치를 연결하여 프로그램을 사용하여 디스크 이미징을 수행하거나 하드웨어 기기를 사용하여 디스크 이미징을 수행할 수 있다.

포렌식 아티팩트 분석

윈도우7 버전에서 윈도우8로 버전이 업데이트 되면서 물리/가상메모리, 레지스트리, 웹 브라우저 사용흔적, 익스플로러 캐시의 아티팩트들의 정보가 변경 되었다.

윈도우 버전별 아티팩트 비교표
윈도우7 윈도우8 비교
1 물리/가상 메모리 물리/가상 메모리 변경
2 파일시스템 파일시스템
3 레지스트리 레지스트리 변경
4 프리/슈퍼패치 프리/슈퍼패치
5 웹 브라우저 사용흔적 웹 브라우저 사용흔적 변경
6 이벤트 로그 이벤트 로그
7 링크파일 링크파일
8 휴지통 흔적 휴지통 흔적
9 볼륨 섀도우 복사본 볼륨 섀도우 복사본
10 익스플로러 캐시 익스플로러 캐시 변경

시스템 정보

윈도우 운영체제의 설치 정보를 확인하는 것은 조사 대상 시스템을 조사할 중요한 요소로 사용된다. 설치 정보로는 운영체제 설치 시점, 설치된 운영체제의 버전, 설치 경로 등이 있다. 조사를 수행할 때 설치 시점은 조사 대상의 기준점으로 사용될 수 있으며 사용자의 알리바이를 확인하는 데에도 사용될 수 있다. 윈도우 운영체제는 사용자의 포맷, 완전 삭제 등의 행위를 통해 삭제될 수 있으며 사용자는 새로 설치할 수 있다. 윈도우 설치 시점 이전에 생성되거나 수정된 파일이 존재하는 경우 사용자에 의해 의도적인 수정이 가해졌을 가능성도 존재하므로 참고 사항으로 설치 시간이 사용될 수 있다. 윈도우 8에서 운영체제 설치 시점을 확인하는 방법은 WMI를 사용하여 획득하는 방법, 레지스트리에 기록된 설치 시점을 확인하는 방법, NTFS 파일 시스템 포맷 시점을 확인하는 방법이 있다. WMI는 실행에서 “WMIC”를 입력하여 실행할 수 있으며 실행된 WMIC 입력창에서 “os get installdate”를 입력하면 운영체제의 설치 시점을 확인할 수 있다.

사용자 행위

디지털 포렌식 조사를 함에 있어 컴퓨터에서 일어나는 사용자의 상태 및 상황, 즉 정황을 정확히 파악하고 이해하는 것은 매우 중요한 이슈이다. 이러한 사용자 행위 정보를 분석을 위해서는 사용자 행위 정보를 저장하는 데이터에 대한 이해가 필요하다. 윈도우8의 사용자 행위 정보는 레지스트리, 메트로 앱 정보를 분석하여 알 수 있다. 시스템의 전체적인 설정 정보를 담고 있는 레지스트리 파일은 “%SystemRoot%\system32\config” 폴더에 저장된다