LNK 파일은 윈도우 운영체제에서 자주 사용하는 파일 타입으로, 특정 파일이나 폴더에 대한 바로 가기 링크를 저장합니다. 이 파일들은 시스템이 사용한 파일과 프로그램의 흔적을 남기기 때문에, 디지털 포렌식에서 중요한 역할을 합니다.
이전 LNK파일의 개념 분석과 LNK파일을 조심해야 하는 이유에 대해 함께 조금 상세히 설명했었는데요. 이번 글에서는 LNK 파일의 구조와 포렌식 기법에 대해 설명하겠습니다. 관련 지식이 없는 분들도 조금이나마 흥미롭게 읽을 수 있도록 쉽게 설명하겠습니다.
LNK 파일은 윈도우 시스템(Windows)에서 파일이나 폴더, 프로그램에 대한 바로 가기 정보를 저장하는 파일입니다. 일반적으로 .lnk 확장자를 가지며, 사용자가 파일을 열거나 프로그램을 실행할 때 생성됩니다.
앞서 포스팅에서 얘기한 것처럼 LNK 파일은 여러 메타데이터를 포함하고 있어 포렌식 분석에 유용한데요. LNK 여러 속성 중 포렌식 관점에서 주로 확인할 부분은 아래와 같습니다.
- 헤더(Header): 파일 형식과 크기 등의 기본 정보를 포함합니다.
- ID 리스트(ID List): 실제 파일이나 폴더의 위치 정보를 포함합니다.
- 링크 정보(Link Info): 파일 경로, 네트워크 경로 등의 상세 정보를 포함합니다.
- 대상 이름(Target Name): 바로 가기 대상 파일의 이름입니다.
- 타임스탬프(Timestamp): 생성, 수정, 액세스 시간 정보를 포함합니다.
눈치가 빠른 분들은 벌써 눈치채셨겠지만, 생각보다 많은 유의미한 정보를 수집할 수 있다는 점이 바로 보일거예요.
포렌식 기법
문자열 검색
LNK 파일의 내용을 직접 열어보면, 텍스트 형식의 파일 경로나 네트워크 경로가 포함되어 있습니다. 이를 통해 사용자가 접근한 파일이나 폴더의 위치를 확인할 수 있습니다.
| 장점 | 단점 |
|---|---|
| 간단하고 빠르게 확인 가능 | 텍스트 형태로만 제공되어 해석이 어려울 수 있음 |
타임스탬프 분석
LNK 파일에는 파일이 생성, 수정, 액세스된 시간이 기록되어 있습니다. 이를 통해 파일이 언제 사용되었는지 파악할 수 있습니다.
| 장점 | 단점 |
|---|---|
| 파일 사용 시간을 명확히 파악 가능 | 타임스탬프 위조 가능성 존재 |
파일 경로 복구
LNK 파일에는 원본 파일의 경로 정보가 포함되어 있어, 이를 통해 원본 파일이나 폴더의 위치를 복구할 수 있습니다.
| 장점 | 단점 |
|---|---|
| 파일이나 폴더의 위치를 쉽게 복구 가능 | 경로 정보가 불완전할 경우 정확한 위치 복구 어려움 |
도구 활용 분석
아마 우리가 주로 사용하게 될 방법일텐데요. 대표적인 도구로는 FTK Imager, EnCase, X-Ways Forensics 등이 있습니다. 이러한 도구들은 LNK 파일의 모든 메타데이터를 자동으로 분석해 줍니다. 하지만 원리를 알게되면 스스로 전용 프로그램을 만들어 사용할 수도 있겠죠? 현재 포렌식 소프트웨어들은 정말 높은 가격의 라이선스 비용이 요구되고 있고, 실제적으로 개인이 사용해보기도 어려운 소프트웨어가 많습니다. FTK imager만 개인 무료로 사용되고있으니 참고바랍니다.
| 장점 | 단점 |
|---|---|
| 정확하고 신속한 분석 가능 보고서화 가능 |
높은 라이선스 비용 발생 가능성 |
각 기법의 장단점 비교
| 기법 | 장점 | 단점 |
|---|---|---|
| 문자열 검색 | 간단하고 빠르게 확인 가능 | 텍스트 형태로만 제공되어 해석이 어려울 수 있음 |
| 타임스탬프 분석 | 파일 사용 시간을 명확히 파악 가능 | 타임스탬프 위조 가능성 존재 |
| 파일 경로 복구 | 파일이나 폴더의 위치를 쉽게 복구 가능 | 경로 정보가 불완전할 경우 정확한 위치 복구 어려움 |
| 도구를 활용한 분석 | 정확하고 신속한 분석 가능 | 도구 사용에 대한 비용 발생 |
결론
LNK 파일 포렌식 각 기법마다 장단점이 있지만, 목적에 따라 적절한 기법을 선택해 사용하면 효과적으로 데이터를 분석할 수 있습니다. 문자열 검색, 타임스탬프 분석, 파일 경로 복구, 도구 활용 등 다양한 방법을 조합하여 더욱 정확한 분석이 가능하겠죠. LNK 파일에 대한 포렌식 분석은 기술적인 부분이 많지만, 이를 이해하고 활용하면 중요한 증거를 확보하는 데 큰 도움이 됩니다. 디지털포렌식의 분야는 정말 많은 지식을 필요로 하고 신기술을 항상 누구보다 빠르게 습득해야 하는 어려움이 있습니다. 그렇기에 지속적으로 학습하고 연구하는 자세가 꾸준히 필요합니다.
'IT' 카테고리의 다른 글
| 치지직 광고차단 그리드 설치 우회 방법과 이유 (5) | 2024.06.21 |
|---|---|
| 정보보안 커뮤니티 추천과 활용법 총정리, 1편 (1) | 2024.06.12 |
| '삼체:문명의 경계' 인간 컴퓨터의 원리 쉽게 살펴보기 (4) | 2024.06.11 |
| 브라우저 쿠키 캐시 삭제 방법 인터넷기록 초기화 (2) | 2024.06.11 |
| 웹사이트에서 쿠키와 캐시를 수집하는 이유 (2) | 2024.06.11 |