VSS(Volume Shadow Copy Service)
• 특정한 시각의 파일, 폴더의 복사본이나 볼륨의 스냅샷을 저장해두고 복원할 수 있는 기능
시스템 복원 기능
• 컴퓨터 전체를 복원 지점으로 되돌리기
• 특정 파일/폴더를 이전 버전으로 되돌리기
VSS 설정
• 복원 지점 만들기 검색
• 구성 -> 시스템 보호 사용 설정
구성 -> 디스크 공간 설정
• 만들기 -> 시스템 복원
VSS 확인
• cmd 창 -> vssadmin list shadows 명령 입력
• mklink /d <링크폴더> <섀도 복사본 볼륨>\
• 파일 탐색기로 접근하여 확인하면 복원 지점으로 설정한 시점의 파일을 확인할 수 있음
ShadowExplorer : 위 작업 편하게 가능(위 처럼 링크 별도 생성 필요 x)
• https://www.shadowexplorer.com/downloads.html
ShadowExplorer.com - Downloads
Downloads Here you can download the latest version of ShadowExplorer, a free replacement for the Previous Versions feature of Microsoft Windows® VistaTM / 7 / 8 / 10. You can restore lost or damaged files from Shadow Copies. However, it is by no means a r
www.shadowexplorer.com
Windows 검색 기능
• 작업표시줄 아이콘 클릭 or Windows + S 단축키
Windows Indexing
• 검색 기능을 구현하기 위해 미리 Indexing 작업을 수행함
• 파일 이름과 전체 파일 경로를 포함하여 파일의 모든 속성이 인덱싱됨
• 텍스트가 포함된 파일의 경우, 콘텐츠가 인덱싱됨.
Windows.edb
• Windows Search에 사용하기 위한 Indexing 정보 저장
• 경로: %ProgramData%\Microsoft\Search\Data\Applications\Windows
Windows.edb 수집
• 온라인 상태에서 수집할 때는 Windows Search (Wsearch) 서비스를 종료시켜야 함
• 서비스 동작 중 복사하거나 포렌식 도구로 수집 시 정상적인 구조가 아닌 “Dirty” 상태로 수집됨
• Dirty: 응용프로그램이 데이터베이스를 사용하는 중의 상태
• Clean: 데이터베이스 API를 사용하여 트랜잭션을 모두 처리한 상태
• Windows.edb 수집 과정
• Windows Search 서비스 ‘사용 안 함’
• Windows Search 서비스 ‘중지’
• 이후에 Windows.edb 복사
• Clean shutdown 확인
• esentutl /m <파일이름> | findstr State
• State: Clean Shutdown 확인
ESEDatabaseView
• ESE Database를 보여주는 도구 <- 읽기 어렵기 때문에 비추천
WinSearchDBAnalyzer
• https://moaistory.blogspot.com/2018/10/winsearchdbanalyzer.html
WinSearchDBAnalyzer
WinSearchDBAnalyzer This tool can parse normal records and recover deleted records in Windows.edb. Windows.edb is used in Win...
moaistory.blogspot.com
Recycle Bin
휴지통(Recycle Bin)
• 파일을 삭제하고, 복원하거나 영구 삭제할 수 있음
휴지통 폴더 확인 : 파일탐색기 보기 설정 변경(숨긴 항목 표시)
휴지통 폴더는 볼륨 단위로 생성
• 로컬 디스크로 인식되는 경우에 생성
• USB 등 이동식 디스크, 네트워크 드라이브 등은 생성되지 않음
”휴지통” 아이콘
• 모든 볼륨의 휴지통 폴더를 통합하여 보여줌
• 그러나 하나의 폴더로 존재하는 것은 아님
휴지통 아티팩트(파일 삭제 시)
• 휴지통 폴더 경로: <Volume>\$Recycle.Bin\<SID>\
• 삭제된 파일: $R<임의문자열 6자리>.<원본 파일 확장자>
• 삭제 관련 메타데이터: $I<임의문자열 6자리>.<원본 파일 확장자>
• 원본 파일의 경로, 휴지통으로 삭제된 시각 등
휴지통 아티팩트(파일 복원시)
• 삭제된 파일($R)은 사라짐
• 삭제 관련 메타데이터($I)는 남아 있음
• 휴지통 아티팩트(휴지통 비우기)
• 삭제된 파일($R) 및 삭제 관련 메타데이터($I) 모두 삭제
휴지통 아티팩트 실습
• 테스트용 폴더 및 파일 생성
• 1) 삭제 2) 복구 3) 휴지통 비우기 실습
메타데이터 분석
• Windows File Analyzer, https://www.mitec.cz/wfa.html
• 파일 경로, 삭제된 시점, 크기 확인
휴지통 들어갔다가 복원된 파일은 휴지통 비우기 해도 메타데이터($I)가 남아있기 때문에 악성코드, 문서유출 사건에 대한 실마리로 참고할 수 있음