윈도우XP에 있는 기능중에 시스템 복원이라는 기능이 있다.
위와 같이 시스템 속성에서 보고, 설정할 수 있다. 기본값이 작동으로 되어 있기에
아마 대부분의 PC에 설정되어 있지 않을까 싶다.
비스타부터 도입된 Shadow Volume이 있지만 여전히 Restore Point 는 유지 되고
있는 듯 하다. 위의 캡쳐는 윈도우7 에서 캡쳐한..(이쁘죠?-_-;;)
아무튼 이녀석은 주로 아래와 같은 사항을 모니터 하고 변동사항을 저장 해두는데
이 포스트에서는 그 분석을 위한 도구 몇개를 소개 하려 한다.
■ RipXP
Carvey가 만들고 기존 Regripper의 플러그인들과 연동되어 동작하는 툴이다. 시스템 복원을
위해 저장된 레지스트리에 있는 정보를 뽑아 볼수 있게 해준다.입력으로는 현재의 레지스트리
파일(ntuser.dat, system, config, security)와 HDD에 있는 System Volume Information내의
_restore{GUID} 폴더를 지정해주면 된다. 한번 해봤다ㅋ
가만 보면 carvey가 forensics domain에 끼치는 영향력은 마치 김연아가 빙상계에
끼치는 그것과 비슷한거 같다. 한국인이면 밑에 가서 일 좀 하고 싶은데-_-
(미국가면 말도 안통하고 인종차별도 받을꺼 같고...미드보면 그냥 가정집도 졸라 무서운
동네 같아서...발이 안떨어진다...)
한가지 아쉬운 점은 아직 Regripper처럼 플러그인들을 묶은 플러그인 모듈 단위로는
적용이 안된다는 점이다. 일일히 솎아주고 플러그인에 해당 하는 레지스트리 파일이
어떤것인지 선택을 해서 돌려줘야 한다는게 좀 번거롭다. 개선되리라 생각한다.
■ MANDIANT Restore Point Analyzer
사실 이것 때문에 굳이 포스팅 중이라는-_-; Fight the evil. MANDIANT...
(캐치프레이즈가 졸라 멋있는거 같아...머리에 계속 멤도는듯...-_-)
좋은 프로그램을 Free로 많이 올려주고 있는데, 사용법을 잘 모르는게 문제-_-
Document가 너무 빈약하다고 해야 할까..별도 교육도 진행하는거 같긴 한데..
아무튼 이 프로그램은 Restore Point에 있는 파일 목록과 원래의 위치를 보여준다.
사용법은 RipXP보다 간결하다.
위와 같이 Restore point 폴더만 지정해주면 아래처럼 지가 알아서 로그 파일을 긁어온다.
하나 선택하면 위에처럼 보이고 여러개의 로그를 선택하면 종합하여 보여준다.
꽤 간단해서 비전문가들도 접근이 용이하다. 이프로그램의 아쉬운점은 포렌식이나
로그등의 자료에서 가장 중요한 시간 정보가 없다는 점이다. 어디 나올까 싶어서 탭을
이리저리 옮겨봤지만 보이질 않았다-_-;파일시스템의 메타 정보라도 보여주면 좋으련만
아쉽지만 두개의 도구를 적절하게 쓰면 도움이 될듯 싶다. 각각의 프로그램들도 업뎃을
해가며 아마 단점들이 곧? 보완되지 않을까 싶다.
위와 같이 시스템 속성에서 보고, 설정할 수 있다. 기본값이 작동으로 되어 있기에
아마 대부분의 PC에 설정되어 있지 않을까 싶다.
비스타부터 도입된 Shadow Volume이 있지만 여전히 Restore Point 는 유지 되고
있는 듯 하다. 위의 캡쳐는 윈도우7 에서 캡쳐한..(이쁘죠?-_-;;)
아무튼 이녀석은 주로 아래와 같은 사항을 모니터 하고 변동사항을 저장 해두는데
Registry, Local (not roaming) profiles, COM+ DB, WMI DB, IIS Metabase,이 내용에 대한 자세한 사항은 WFA를 보시면 더 많은 정보를 얻으실 수 있을듯 싶고,
Windows File Protection DLL cache, File with extensions listed in <include> portion
of the monitored file extentions list in the System Restore section of the Platform SDK.
<출처:WFA 2nd>
이 포스트에서는 그 분석을 위한 도구 몇개를 소개 하려 한다.
■ RipXP
Carvey가 만들고 기존 Regripper의 플러그인들과 연동되어 동작하는 툴이다. 시스템 복원을
위해 저장된 레지스트리에 있는 정보를 뽑아 볼수 있게 해준다.입력으로는 현재의 레지스트리
파일(ntuser.dat, system, config, security)와 HDD에 있는 System Volume Information내의
_restore{GUID} 폴더를 지정해주면 된다. 한번 해봤다ㅋ
가만 보면 carvey가 forensics domain에 끼치는 영향력은 마치 김연아가 빙상계에
끼치는 그것과 비슷한거 같다. 한국인이면 밑에 가서 일 좀 하고 싶은데-_-
(미국가면 말도 안통하고 인종차별도 받을꺼 같고...미드보면 그냥 가정집도 졸라 무서운
동네 같아서...발이 안떨어진다...)
한가지 아쉬운 점은 아직 Regripper처럼 플러그인들을 묶은 플러그인 모듈 단위로는
적용이 안된다는 점이다. 일일히 솎아주고 플러그인에 해당 하는 레지스트리 파일이
어떤것인지 선택을 해서 돌려줘야 한다는게 좀 번거롭다. 개선되리라 생각한다.
■ MANDIANT Restore Point Analyzer
사실 이것 때문에 굳이 포스팅 중이라는-_-; Fight the evil. MANDIANT...
(캐치프레이즈가 졸라 멋있는거 같아...머리에 계속 멤도는듯...-_-)
좋은 프로그램을 Free로 많이 올려주고 있는데, 사용법을 잘 모르는게 문제-_-
Document가 너무 빈약하다고 해야 할까..별도 교육도 진행하는거 같긴 한데..
아무튼 이 프로그램은 Restore Point에 있는 파일 목록과 원래의 위치를 보여준다.
사용법은 RipXP보다 간결하다.
위와 같이 Restore point 폴더만 지정해주면 아래처럼 지가 알아서 로그 파일을 긁어온다.
하나 선택하면 위에처럼 보이고 여러개의 로그를 선택하면 종합하여 보여준다.
꽤 간단해서 비전문가들도 접근이 용이하다. 이프로그램의 아쉬운점은 포렌식이나
로그등의 자료에서 가장 중요한 시간 정보가 없다는 점이다. 어디 나올까 싶어서 탭을
이리저리 옮겨봤지만 보이질 않았다-_-;파일시스템의 메타 정보라도 보여주면 좋으련만
아쉽지만 두개의 도구를 적절하게 쓰면 도움이 될듯 싶다. 각각의 프로그램들도 업뎃을
해가며 아마 단점들이 곧? 보완되지 않을까 싶다.
덧글
xeraph 2009/09/02 12:32 # 답글
오 강렬한 캐치프레이즈 (...)
용기백배 2009/09/04 12:57 #
Fight the Evil...이라고 시작하던 영상이 있었는데 그게 머릿속에 멤도네요 큭
willow 2009/09/10 15:41 # 삭제 답글
RP에 change.log 내에는 시간정보는 없습니다.MS에서 change.log 정보에 시간값만 넣어줬어도 엄청 유용할텐데^^;
change.log 파일 자체의 생성시간 가지고 이전 change.log파일과의 시간 사이에서 유추해야지요~
RP파일도 마찬가지구요....
용기백배 2009/09/10 18:32 #
앗 그러게요 왜 시간값을 안넣어서-_-;개인적으론 조사관이 RP 폴더 경로를 넣어주니깐 그 내부 파일들의 생성시간을 연결해서
적어주게 버젼업?되서 나오면 좋을꺼 같아요.
오늘 MANDIANT hiring 페이지를 진지하게 읽어봤는데, 진지하게 자신이 미워지더군요-_-ㅋ
조건 맞는게 거의 없는듯 ㅋ
chang 2009/10/18 01:12 # 삭제 답글
저두 Mandiant RPA에 대하여 회의적으로 생각했는데, 시간 정보는 필요하지 않더라구요시간 정보는 복원지점 폴더에 저장되어 있으니까요. 그리고 change.log.* 파일의 MAC 타임을 가지고도
시간 정보를 확인할 수 있으니까요. Mandiant RPA에서 출력해 주는 것은 모니터링 파일이 삭제되어
A*******.확장자 파일이 생성된 것에 한합니다. 모니터링 대상 파일이 삭제되었다면 대상 파일이
설치되었다는 것을 의미하므로 그 정도의 정보로서 Mandiant RPA는 충분한 역할을 한 것이죠
저는 최근에 복원지점 분석이 자주 사용되지 않은 이유를 알았습니다. Encase에서 링크파일을 분석해 주는
Enscript가 있는데, 그 Enscript는 복원지점 폴더에 있는 A******.lnk 파일까지 분석해 주더라구요
용기백배 2009/10/19 09:52 #
아, 제가 아쉬웠던 점은 파일시스템상에 남아있는 MAC Time이라도 긁어와서 보여주면 좋았겠다는 정도였습니다. 한 화면에서 보는 것과 따로 찾아보는것관 느낌이 다르니깐요...추가로 EnCase의 스크립트는 복원지점 파일과 그렇지 않은것과 눈에 확 띄게 구분이 안되니깐 좀 불편한 것 같습니다.약간 조작을 해야 해서-_-;;//흠...전에 메신져 주신분이 맞는지요? 자주 들려주셔서 감사합니다 __)