2013/11/30

[tool] WFA (Windows File Analyzer), Forensic tool

1. 툴 종류 : 보안 > 시스템 포렌직 툴
2. 지원 시스템 : Windows 2k, XP, 2003, Vista, 7, Server 2008 (R2)
3. 라이센스 : Freeware
4. 개발자 : Michal Mutl(michal.mutl@mitec.cz)
5. 사용 상세 가이드 : MITEC사의 WFA Guidance 문서
6. 홈페이지 : : http://www.mitec.cz/wfa.html
7. 파일 다운로드 : Windows File Analyzer (2013년 11월 현재 최신버전은 2.6)


이 프로그램은 총 아래의 5가지 메뉴로 구성이 되어 있으며, 대부분의 메뉴들은 직관적으로 이해하기 쉽게 구성되어 있다.
즉, 메뉴의 File을 클릭하여 원하는 메뉴를 선택한 후,(혹은 하위 작은 버튼들을 직접 클릭해도 됨)
원하는 데이터 파일을 읽어들이면 자동으로 화면에 데이터가 나와 분석이 쉽다.

index.dat를 이용하여 웹 접속 로그를 확인하여 악성코드 다운로드와 관련된 유입 경로 데이터를 확인하거나,
prefetch를 이용하여 최초 파일의 생성 및 실행을 확인하고,
만약 APT 공격에 문서 어플리케이션 취약점 등이 이용된 경우나 내부자료 유출 등 문서를 읽은 시간 확인이 필요한 경우 shortcuts 분석을 이용하기도 하고,
마지막으로 공격자가 사용한 파일에 대해 삭제하여 현재 경로에 없는 경우 이에 대한 확인을 위해 휴지통 내역을 분석하기도 한다.

간략한 메뉴에 대한 설명은 아래와 같고, 상세한 lnk나 prefetch의 분석에 대해서는
위에 언급한 Mitec에서 제공한 가이드를 참고하거나, 분석하는 Windows의 해당 database 파일에 대해 추가적으로 공부를 한 다음 이용하는것이 좋다.

1) Analyze Thumbnail database
windows 시스템의 Thumbnail db(thumbs.db 파일), 혹은 ACDSEE의 경우는 *.fpt 파일 등등
이 프로그램에서 지원해주는 소프트웨어에서의 database 파일값을 읽어 분석한 후, 저장되어 있는 데이터 및 이미지를 보여준다.
현재 지원되는 소프트웨어는 Windows XP, ACDSEE, Google picasa, FastStone viewer, HP Digital Imaging 이다.

2) Analyze Prefetch
Prefetch는 디스크 사용량을 분석해 자주 사용하는 데이터를 미리 메모리에 읽어두는 작업을 해주는 것으로
Windows의 Prefetch 폴더 속 저장되어 있는 *.pf 파일들을 읽어들여와서 저장된 정보를 보여준다.
주로 악성코드 감염 PC의 경우 언제 악성코드에 감염되었는지, 해당 바이너리의 최초 실행 일시를 확인할때 좋다.
생성 시간은 물론 마지막 실행시간, 실행 횟수, 참조 목록 및 MD5 해쉬값 역시 보여준다.

참고로 윈도우즈에서 파일 실행시 기본으로 prefetch 폴더에 *..pf 파일이 생성되지 않는 경우도 있으므로
만약 설정 및 설정에 대한 확인을 하려 한다면 아래의 레지스트리에 특정 값을 확인해야 한다.
(자세한 내용을 여기에 설명할 순 없으므로, 직접 검색해 확인 하시오.)

HKLM\System\CurrentControlSet\Control\SessionManager\MemoryManagement\PrefetchParameters 의 EnablePrefetcher

3) Analyze shortcuts
*.lnk 파일인 바로가기 shortcut 파일들을 분석하여 저장된 정보들을 보여준다.
주로 문서파일 등이 실행된 이후 *.doc.lnk 파일 등이 Recents 폴더에 남게 되는데,
이 lnk 파일 속에 저장된 정보들을 분석하여 보여주게 된다.
파일명, 파일의 위치, 생성시간 및 마지막 실행 시간, 파일 사이즈는 물론 볼륨이름이나 시리얼 정보 등도 남는다.
(USB 속에 있는 파일을 읽어들였고, 해당 USB를 이미 제거했더라도
바로 이 항목을 이용하여 언제 어떤 문서를 읽었는지 정보가 남는다는 뜻)

4) Analyze index.dat
웹 접속에 대한 history가 남겨져 있는 index.dat 파일을 분석하여 저장된 정보들을 보여주는 메뉴이다.
접속 URL 및 접속 count, 남겨진 파일(*.htm 이나 *.js 등등)은 물론 남겨진 폴더 및 접속 시간 등에 대한 정보를 확인할 수 있다.

5) Analyze Recycle Bin
휴지통에 있는 Info2를 읽어들여와 삭제한 파일들이 저장되어있는 정보들을 디코딩 하여 보여준다.
물론 휴지통 비우기를 해서 실제 휴지통에서 보이지 않는 삭제된 파일도...
해당 파일명과 경로, 삭제된 날짜, 해당 파일의 사이즈 등의 정보는 보인다.





Written by 댓글 없음:
Tag : , ,
피드 구독하기: 글 (Atom)
..