본문 바로가기
포렌식 데이터복구

평택 포렌식 엔지니어가 알려주는 Windows 7 파일 삭제 이력 분석하는 방법

by 평택 데이터복구 2024. 11. 7.

Windows 7 환경에서 파일 삭제 이력을 분석하는 것은 디지털 포렌식에서 중요한 작업입니다.

이는 법적 분쟁, 내부 조사, 악성 코드 대응 등 다양한 상황에서 필수적입니다. 파일이 언제 삭제되었는지, 누가 삭제했는지를 추적할 수 있는 정보를 제공함으로써 효과적인 대응을 가능하게 합니다.

이번 글에서는 Windows 7에서 파일 삭제 이력을 확인하는 방법과 필요성을 구체적으로 설명하겠습니다.



1. MFT(Master File Table) 분석

NTFS 파일 시스템에서 MFT는 모든 파일과 디렉터리에 대한 메타데이터를 저장합니다.

MFT에는 파일의 생성, 수정, 액세스 시간 및 삭제와 관련된 정보가 포함되어 있어, 삭제된 파일의 흔적을 확인할 수 있습니다.

이를 분석하려면 EnCase, FTK, Autopsy와 같은 포렌식 도구를 사용하여 MFT 레코드를 추출하고 분석합니다.

이 도구들은 MFT의 비활성 레코드를 스캔해 삭제된 파일의 흔적을 복구하고, 해당 파일이 언제 삭제되었는지에 대한 정보를 제공합니다.

2. USN 저널 분석

USN(Change Journal)은 NTFS 볼륨에서 파일과 디렉터리의 변경 사항을 추적하는 기능을 갖추고 있습니다.

이 저널은 $Extend\$UsnJrnl에 저장되며, 파일 삭제와 같은 이벤트도 포함됩니다.

USN 저널을 포렌식 툴로 분석하면 삭제된 파일의 이름, 변경 시간, 크기 등의 정보를 확인할 수 있습니다.

특히 삭제된 $UsnJrnl 파일을 복구하여 과거 사용자 활동을 추적하는 방법은 디지털 포렌식에서 중요한 역할을 합니다.

3. 레지스트리 분석

Windows 레지스트리에는 시스템 및 사용자 활동에 대한 다양한 정보가 저장되어 있습니다.

파일이 삭제되었을 때, 해당 이력이 레지스트리에 남아 있을 가능성이 있습니다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem 경로를 통해 NTFS 관련 정보 및 파일 처리 내역을 분석할 수 있습니다.

이를 통해 특정 파일의 삭제 여부와 시간대 등을 추적할 수 있습니다.

4. 섀도 복사본(Volume Shadow Copy) 활용

Windows 7의 시스템 보호 기능은 섀도 복사본을 생성하여 이전 상태의 파일을 보존합니다.

이를 통해 삭제된 파일을 복구하거나, 과거의 파일 상태를 확인할 수 있습니다.

vssadmin list shadows 명령어를 통해 섀도 복사본을 나열하고, 포렌식 도구로 섀도 복사본을 분석할 수 있습니다.

이러한 방법은 삭제된 데이터의 복원 및 추적에 유용합니다.

5. 포렌식 도구 활용

EnCase, FTK, Autopsy와 같은 포렌식 소프트웨어는 삭제된 파일의 흔적과 관련된 다양한 로그 및 기록을 분석할 수 있는 강력한 기능을 제공합니다.

EnCase는 법적 증거 수집 및 분석에 적합하며, FTK는 고속 인덱싱 기능을 통해 삭제된 파일을 빠르게 검색할 수 있습니다.

Autopsy는 오픈소스 도구로, 다양한 플러그인을 통해 분석 기능을 확장할 수 있습니다.

이 도구들은 자동화된 분석 기능을 통해 조사 시간을 절약하고, 조사 정확도를 높이는 데 기여합니다.

6. 윈도우 이벤트 로그 분석

Windows 이벤트 로그는 시스템에서 발생한 중요한 활동의 기록을 제공합니다.

파일 삭제와 관련된 이벤트 로그는 이벤트 로그 뷰어(Event Viewer)를 통해 확인할 수 있으며, 특정 이벤트 ID를 통해 파일 삭제의 이력을 추적할 수 있습니다.

이를 통해 사용자 활동이나 특정 애플리케이션의 파일 접근 기록을 파악하여 삭제 이력을 분석할 수 있습니다.


파일 삭제 이력 분석이 필요한 상황

파일 삭제 이력 분석은 다양한 포렌식 수사 및 보안 상황에서 필요합니다.

몇 가지 예시는 다음과 같습니다.

  1. 내부 정보 유출 조사: 기업에서 기밀 정보가 유출되었을 때, 특정 직원이 회사의 중요 데이터를 삭제했는지 확인하기 위해 파일 삭제 이력 분석이 필요합니다. 이는 법적 증거 수집이나 내부 보안 강화를 위한 필수 절차입니다.
  2. 법적 분쟁 및 증거 수집: 디지털 포렌식은 법적 분쟁에서 증거로 사용될 수 있는 파일 삭제 내역을 추적하는 데 사용됩니다. 예를 들어, 특정 문서가 언제 삭제되었는지를 파악해 법정에서 증거로 제출할 수 있습니다.
  3. 악성 코드 및 해킹 대응: 시스템이 악성 코드에 의해 감염되어 파일이 무단 삭제된 경우, 삭제 이력을 분석하여 공격자의 활동과 삭제 시간대를 파악할 수 있습니다. 이를 통해 감염 경로를 확인하고 추가적인 보안 조치를 취할 수 있습니다.

결론

Windows 7에서 파일 삭제 이력을 분석하는 것은 내부 보안 유지, 법적 증거 수집, 악성 코드 대응 등 다양한 상황에서 중요한 역할을 합니다.

포렌식 전문가가 이러한 절차를 수행하며, 다양한 도구와 기술을 활용해 데이터를 복구하고 사용자의 행동을 추적하는 데 기여합니다.

이러한 분석은 디지털 증거의 정확성을 높이고, 신속한 대응을 가능하게 합니다.

이 글이 Windows 7의 파일 삭제 이력 분석에 대한 이해를 돕고, 실제 활용 사례에서 도움이 되길 바랍니다.


https://talk.naver.com/ct/wc5atn

 

네이버 톡톡

궁금할 땐, 부담없이 물어보세요.

talk.naver.com