윈도우 색인파일을 활용한 외장저장장치 흔적 분석

Abstract

디지털포렌식 수사관은 압수수색을 집행하는 과정에서 다양한 상황을 마주하게 된다. 이러한 현장의 상황에 디지털포렌식 수사관이 얼마나 냉철하고 신속하게 대응하는가에 따라 압수수색의 결과는 크게 달라질 것이다.

근래의 압수현장에서는 사용자의 PC에 어떤 외장저장장치가 접속되었으며 그 시점이 언제인지를 판단하는 것이 압수수색의 중요한 키포인트가 되었다. 많은 사람들이 업무와 관련된 자료를 외장하드나 USB 등에 백업하여 보관한다. 사건과 관련한 중요한 자료가 이 외장저장장치에 보관되어 있을 확률이 크기 때문에 수사관은 압수수색 현장에서 사용자가 어떤 외장저장장치를 소유하고 있는지 신속하게 판단하여 그 장치를 확보하여야 한다.

외장저장장치의 흔적을 찾는 방법은 레지스트리 분석이나 링크파일 분석 등 이미 많은 포렌식 분석기법이 알려져 있다. 하지만 윈도우 색인파일인 Windows.edb 파일에 주목한 사람은 많지 않다. 사용자가 특정 볼륨이나 폴더에 색인을 걸었을 경우 이 색인정보가 생성되고, 색인정보를 초기화 시키지 않는 이상 이 정보는 유지되는 특성이 있다. 외장저장장치 역시 색인대상에 포함될 수 있다.

사용자가 색인을 걸었을 경우라는 전제조건이 있기 때문에 이 색인정보는 아주 제한적인 경우에만 활용될 수 있다. 하지만 사용자가 PC를 사용하면서 본인도 모르게 특정 볼륨이나 폴더에 색인을 걸어놓는 경우가 많다. 만약 단 한번이라도 색인을 걸어 놓았다면 대상 볼륨에 대한 색인이 계속 유지되기 때문에, 이 정보를 토대로 사건의 열쇠가 될 중요한 데이터를 획득하게 될 가능성은 분명히 있다. 수사관의 입장에서는 작은 가능성 하나라도 소홀히 할 수 없다. 이 색인파일에 대한 정보 역시 반드시 확인하여야 할 것이다.

본 논문에서는 윈도우 색인파일인 Windows.edb 파일의 구조에 대하여 간단히 살펴본 후, 외장저장장치의 흔적을 분석하는 기존의 포렌식 아티팩트에 관하여 기술하겠다. 그리고 이 색인파일 내부의 데이터가 어떻게 생성-변경되는지 실험한 후 색인파일의 특성을 도출하겠다. 그리고 이 결과를 토대로 색인파일을 활용하는 방법에 대하여 제안하고자 한다.

A digital forensic investigator faces a variety of situations in the process of enforcing search. Depending on how cool and fast the digital forensic investigator responds to these situations, the results of the seizure search will vary greatly.

At the recent seizure site, determining which external storage device was connected to the user 's PC and when that point became an important key point of the seizure search. Many people back up their work-related data to external hard drives or USB. Because of the high probability that important material related to the case is stored in this external storage device, the investigator should promptly determine which external storage device the user owns and secure the device at the seized search site.

Many forensic analysis techniques such as registry analysis and link file analysis are already known for finding traces of external storage devices. However, not many have noticed the Windows.edb file, which is a Windows index file. This index information is generated when the user indexes a specific volume or folder, and the information is retained unless the index information is initialized. An external storage device may also be included in the index object.

This index information can only be used in very limited cases because there is a prerequisite that the user has indexed. However, in many cases, the user is unknowingly indexing a specific volume or folder while using the PC. If you have indexed once, the index on the target volume will still be maintained, so there is a clear possibility that you will get important data that will be key to the event based on this information. From the viewpoint of the investigator, one of the small possibilities can not be neglected. Information about this index file should also be checked.

In this paper, we will briefly review the structure of the Windows.edb file, which is a Windows index file, and then describe the conventional forensic artifacts for analyzing the traces of external storage devices. We will then experiment with how the data in this index file will be created and changed, and then we will characterize the index file. And we propose a method to utilize the index file based on this result.