|
<연재 목차>
마이크로소프트는 미국 현지 시각으로 2012년 5월 31일, 윈도우 8 릴리즈 프리뷰(Release Preview)를 공개했다. 이전에 공개했던 컨슈머 프리뷰(Consumer Preview) 버전과 개발자 프리뷰(Developer Preview) 버전에 대한 사용자 의견을 반영해 정식 버전이 출시되기 전 마지막으로 발표한 프리뷰 버전이다. 정식 버전에서는 릴리즈 프리뷰의 오류와 UX, UI를 개선하는 등의 변화는 있겠지만, 포렌식 분석과 관련된 데이터의 구조나 기능에는 큰 변화가 없을 것으로 보인다. 따라서 최종 프리뷰 버전인 릴리즈 프리뷰 버전을 살펴봄으로써 윈도우 8 분석 시 고려해야 할 점을 미리 준비할 수 있을 것이다. |
메트로 UI
윈도우 8은 윈도우 7 커널에 기반해 개발되었다. 커널뿐만 아니라 전체적인 UX, UI도 윈도우 7을 많이 닮았다. 그로 인해 기존 윈도우 7 사용자들은 윈도우 8로의 전환 비용이 크지 않을 것으로 보인다. 다만, 기존 윈도우에서 시작 버튼(윈도우 키)을 누르면 나타나는 메뉴가 사라지고 메트로 UI가 생겼다.
윈도우 8을 처음 사용한다면 메트로 UI에 당황할 수도 있겠지만, 필자가 사용해본 결과, 조금만 익숙해지면 기존 윈도우 버전보다 훨씬 편했다. 메트로 UI는 사용자가 직접 변경할 수 있기 때문에 ‘나만의 윈도우’를 만든다는 점에서도 높은 점수를 주고 싶다.
[그림 1]은 시작 버튼(윈도우 키)을 눌렀을 때 나타나는 메트로 UI 시작 화면이다.
[그림 1] 메트로 UI 시작 화면
메트로 UI는 태블릿 환경을 목적으로 개발되었다고 하지만 일반 PC 환경에서도 유용할 것 같다. 윈도우에는 많은 기능이 있지만 사용자는 특별한 상황을 제외하고는 늘 사용하는 기능만 사용한다. 메트로 UI는 이런 사용자의 특성을 잘 반영하고 있다. 우려했던 속도 문제도 없어 현재의 윈도우 UI에 이은 차세대 사용자 환경이 될 것으로 기대해 볼 수 있다.
메트로 UI는 다양한 앱(App)으로 구성되어 있다. 윈도우에서 기본으로 제공하는 것 이외에도 윈도우 스토어(Store)에서 공개된 앱을 다운로드할 수 있다. 앱으로 개발된 애플리케이션은 완전히 메트로 UI상에서 동작한다. 앱을 지원하지 않는 애플리케이션은 메트로 UI상에 바로가기는 생성되지만, 클릭 시 기존 바탕 화면으로 넘어가 실행된다.
[그림 2]는 메트로 UI상에서 실행한 인터넷 익스플로러 앱 화면이다. 주소창이 하단에 위치하고 마우스 포인터를 페이지로 이동하면 전체 화면 모드로 전환된다. 전체 화면 모드에서 마우스 우측 버튼을 이용하면 설정이나 페이지 전환을 할 수 있다. 앱상에서 상세한 설정까지는 지원하지 않지만 단순히 브라우징을 한다면 사용자는 이처럼 깔끔한 메트로 UI 환경을 선호할 것이다.
[그림 2] 인터넷 익스플로러 메트로 앱 화면
[그림 3]은 메트로 UI의 기본 앱 화면이다. 다음의 몇 가지 앱을 살펴보자.
[그림 3] 메트로 UI 시작 화면의 기본 앱
• 메일 : 윈도우 계정 생성 시 이메일 주소가 필요하다. 윈도우 라이브 아이디 이외에 지메일과 같은 외부 메일도 사용이 가능하다. 계정을 생성하면 자동으로 메일 앱과 동기화가 이루어져 메트로 UI상에서 간단히 메일을 확인할 수 있다.
• 피플 : 소셜 네트워크(트위터, 페이스북, 구글+ 등)와 연동되는 앱이다. 타임라인을 실시간으로 확인할 수 있다.
• 메시지 : 윈도우 라이브 메신저, 페이스북 채팅과 같이 메시지를 전달하는 애플리케이션과 통합해 사용이 가능하다.
• 뉴스 : 앱 기반의 데이터를 제공하는 다양한 신문을 앱상에서 구독할 수 있다. 현재는 일부 신문사에서만 데이터를 제공하지만 정식 출시가 되면 모든 신문을 구독할 수 있을 것이다.
• 일정 : 일정을 관리할 수 있는 앱이다. 필자가 로그인 계정으로 구글 메일을 등록한 결과, 구글 캘린더와 자동으로 동기화되었다.
정식으로 출시되면 다양한 앱이 스토어를 통해 지원될 것으로 보인다. 소셜 네트워킹 서비스를 지원하는 기본 피플 앱이 있지만 각 서비스 업체가 전용 앱을 출시할 것이고 웹 서비스나 메신저 등도 앱을 출시할 것이다. 메트로 UI 화면이나 바탕 화면에서 마우스를 화면 왼쪽 아래 모서리로 이동하면 [그림 4]와 같이 실행되고 있는 앱 MRU(Most Recently Used) 정보와 화면 전환 메뉴가 나타난다.
[그림 4] 실행 중인 앱과 화면 전환 메뉴
맨 아래는 메트로 UI로 전환할 수 있는 버튼이다. 만약, 메트로 UI 환경이라면 바탕 화면으로 전환하는 버튼이 나타난다. 그리고 그 위로 현재 실행되고 있는 앱을 보여준다. 맨 위가 가장 최근에 실행한 앱이다. 앱 화면에서 마우스 우측 버튼을 누르면 가볍게 앱을 종료할 수 있다.
기존 프로그램 메뉴에 익숙해져 있는 사용자가 메트로 UI를 처음 사용할 때 가장 많이 당황하는 문제는 명령창, 제어판, 장치관리자 등의 정보를 찾아가는 것이다. 메트로 UI에서 마우스 우측 버튼을 누르면 [그림 5]와 같이 하단에 ‘All apps’ 옵션을 볼 수 있다. 메트로 UI의 시작 화면에는 자주 사용하는 앱만 고정돼 있으며, ‘All apps’ 옵션을 누르면 설치된 앱과 기존 프로그램 메뉴의 주요 항목을 모두 볼 수 있다. 이 항목 중에 자주 사용하는 메뉴를 시작 화면에 고정시키면 쉽게 사용할 수 있다.
[그림 5] 메트로 UI의 하단 메뉴
이 방법 이외에 이전 방식과 같이 바탕 화면에서도 주요 프로그램 메뉴에 접근할 수 있다. 바로 바탕 화면에서 왼쪽 아래 모서리로 접근했을 때 나타나는 메트로 UI 접근 메뉴에서 마우스 우측 버튼을 누르는 것이다. 그러면 [그림 6]과 같은 빠른 접근(Quick Access) 컨텍스트 메뉴가 나타난다.
[그림 6] 빠른 접근 메뉴
빠른 접근 메뉴를 이용하면 사용자가 주로 사용하는 프로그램 설치/삭제, 전원 옵션, 이벤트 뷰어, 시스템, 장치 관리자, 디스크 관리자, 컴퓨터 관리, 명령창 등의 프로그램에 쉽게 접근할 수 있다. 마우스를 화면 오른쪽 아래 모서리로 이동하면 ‘Charms’라고 불리는 메뉴가 나타난다.
[그림 7] Charms 메뉴
메뉴에는 5가지 항목이 있는데 각 기능은 다음과 같다.
• Search : 검색 기능. [그림 8]과 같이 윈도우의 각 컴포넌트별로 검색할 수 있고 통합 결과를 보여준다.
[그림 8] 메트로 UI 검색 기능
• Share : 앱에서 선택한 항목을 쉽게 공유할 수 있는 기능이다.
• Start : 메트로 화면과 바탕 화면을 전환하는 기능이다.
• Devices : 앱에서 데이터를 다른 장치로 전송해주는 기능이다. 예를 들어, 웹 브라우저에서 OneNote로 보내거나 프린트할 수 있다.
• Settings : 메트로 환경과 바탕 화면 환경의 설정 기능이다. 어떤 환경에서 호출하느냐에 따라 [그림 9]와 같이 서로 다른 메뉴를 보여준다.
[그림 9] 바탕 화면과 메트로 UI 환경 설정 메뉴
아래쪽에는 공통된 메뉴가 위치하는데, 네트워크 환경 설정, 볼륨 조절, 전원 옵션 등이 있다. 그리고 PC 설정을 바꿀 수 있는 ‘Change PC settings’ 메뉴도 있다. 해당 메뉴를 클릭하면 다음과 같이 다양한 설정 항목을 보여준다.
[그림 10] PC 설정 변경 메뉴
사용자가 주 관심 메뉴를 한 곳에 모아둔 느낌이다. 사용자 관리, 알림, 검색, 공유, 개인정보보호, 장치 등의 메뉴를 볼 수 있다. 각 설정을 확인해보면 사용자 편의를 위해 다양한 이전 행위를 저장해두는데 이런 정보는 사용자의 행위를 판단하는 데 유용한 데이터로 활용할 수 있다.
PC 설정 메뉴 중 일반(General) 메뉴에서 눈에 띄는 설정을 찾아볼 수 있다. [그림 11]은 일반 메뉴의 세부 메뉴이다.
[그림 11] PC 설정 메뉴 → 일반 메뉴
[그림 11]에 표시한 3가지 설정은 다음과 같다.
• Refresh your PC without affecting your files : 사용자 파일은 유지하면서 PC를 초기 설정으로 되돌리는 기능이다. PC가 잘 동작하지 않을 때 사용하라고 권고하고 있다.
• Remove everything and reinstall Windows : 사용자 파일을 포함해 모든 파일과 설정을 삭제하고 운영체제의 초기 상태로 되돌아간다. 포맷 없이 손쉽게 운영체제 재설치와 같은 성능을 낼 수 있을 것으로 기대된다.
• Advanced startup : USB 혹은 DVD로 부팅하거나, 윈도우 부팅 설정을 변경하거나, 이미지로 윈도우를 복구시킬 때 사용할 수 있는 고급 부팅 기능이다.
메트로 UI 이외에 윈도우 탐색기도 [그림 12]와 같이 메뉴가 리본 스타일로 바뀌었다.
[그림 12] 리본 스타일의 윈도우 탐색기
BSOD(Blue Screen Of Death) 화면도 [그림 13]과 같이 사용자에게 친숙하게 바뀌었다.
[그림 13] 블루스크린 화면의 변화
이상으로 메트로 UI에 대해서 간단히 살펴봤다. 메트로 UI를 제외하면 전체적인 환경은 윈도우 7과 유사하다. 일부 추가된 기능이 있지만 제어판이나 상세 메뉴도 모두 윈도우 7과 거의 동일하다. 윈도우 8 릴리즈 프리뷰는 업그레이드 버전과 ISO 파일을 지원하고 있으므로 정식 출시 전 살펴보고 싶다면 가상화 환경을 이용해 한번 경험해볼 것을 추천한다. 파일은 다음의 마이크로소프트 공식 다운로드 페이지를 통해 쉽게 다운로드할 수 있다.
• 윈도우 8 릴리즈 프리뷰 다운로드 : http://windows.microsoft.com/ko-kr/windows-8/download/
메트로 UI 아티팩트
아티팩트(Artifacts)는 사전적으로 ‘인공물’이라고 해석된다. 디지털 포렌식에서 아티팩트는 운영체제나 애플리케이션을 사용하면서 자동으로 생성되는 흔적을 말한다. 어떤 시스템에 대해 포렌식 분석을 수행한다는 것은 시스템 운영체제나 설치된 애플리케이션이 남기는 흔적을 분석하는 것이므로 디지털 포렌식 분석의 대상이 된다.
윈도우 운영체제의 아티팩트로는 레지스트리, 프리패치/슈퍼패치, 이벤트 로그, IIS 로그, 시스템 복원 지점, 볼륨 섀도우 복사본, 파일 시스템 데이터 등이 있다. 이런 기본적인 아티팩트는 이미 많이 분석되어 있기 때문에 상세한 분석 내용을 설명하지는 않겠다. 다만, 다음 호에서 기존 윈도우와 비교해 변경된 부분에 대해서만 서술할 예정이다.
이번 호에서는 윈도우 8에서 새롭게 생겨난 메트로 UI 아티팩트를 살펴볼 것이다. 메트로 UI와 앱의 설정을 분석하면 사용자의 사용 습관이나 선호도를 알 수 있다. 또한 메일, 소셜 네트워킹 서비스가 앱으로 통합되면서 다양한 사용자의 개인정보가 클라이언트에 저장될 것이다.
메트로 UI를 사용하면서 새롭게 생성된 아티팩트는 [표 1]과 같다.
[표 1] 윈도우 8 메트로 UI 아티팩트
[표 1]의 각 아티팩트가 어떤 내용을 포함하고 있는지 자세히 살펴보자.
1) 메트로 앱 파일
메트로 앱 실행과 관련한 파일은 다음의 폴더에 위치한다.
• %SystemDrive%\Program Files\WindowsApps
해당 경로는 숨김 속성이 적용되어 있고, 관리자 권한으로만 접근이 가능하다. 경로에는 [그림 14]와 같이 각 앱마다 폴더가 나뉘어있다.
[그림 14] WindowsApps 폴더 내용
앱은 다양한 언어로 개발될 수 있는데, 개발 환경이나 언어에 따라 포함하고 있는 파일이 다르다. 기본적으로 모든 앱에는 다음 3개의 파일이 포함돼 있다.
• AppxBlockMap.xml
• AppxManifest.xml
• AppxSignature.p7x
[그림 15]는 날씨 관련 앱인 Bing.Weather 앱 폴더의 내용이다. 기본 파일 이외에 앱을 구성하는 다양한 이미지 파일, 설정 파일, 데이터 파일로 구성되어 있음을 알 수 있다.
[그림 15] WindowsApps 폴더 하위의 Bing.Weather 앱 폴더의 내용
‘WindowsApps’ 폴더에는 각 앱 폴더 이외에 ‘Deleted’라고 이름 붙여진 폴더가 있다. 이 폴더는 이름에서도 알 수 있듯이 삭제한 앱이 이동하는 경로이다. [그림 16]은 ‘WordPress’ 앱을 삭제한 후 ‘Deleted’ 폴더를 살펴본 것이다.
[그림 16] WindowsApps 폴더 하위의 Deleted 폴더
앱을 삭제하면 앱 폴더가 통째로 ‘Deleted’로 이동한 후, 삭제된 것을 알 수 있다. 삭제한 후 덮어써지지 않았다면 삭제된 앱 목록을 구할 수 있다.
삭제된 앱 이외에 정상적인 앱의 폴더나 파일의 시간 정보를 활용하면 앱의 설치 시간과 접근 시간도 알 수 있다.
2) 메트로 앱 바로가기
• %SystemDrive%\Users\%UserName%\AppData\Local\Microsoft\Windows\Application Shortcuts
[그림 17] 메트로 앱 바로가기가 저장된 Application Shortcuts 폴더의 내용
경로로 이동하면 [그림 17]과 같이 각 앱마다 폴더가 존재한다. 폴더의 상태를 살펴보면 앞서 삭제한 ‘WordPress’ 앱은 삭제된 상태로 나온다. 따라서, ‘WindowsApps\Deleted’ 경로 이외에 앱 바로가기 폴더를 통해서도 삭제된 앱 정보를 얻을 수 있다.
모든 폴더의 하위에는 [그림 18]과 같이 App.lnk라는 이름의 링크 파일이 들어있다.
[그림 18] Application Shortcuts 폴더 하위의 에버노트 앱 폴더
링크 파일의 포맷을 분석해보면 [그림 19]와 같이 기본 ShellLinkHeader 구조에는 아무런 데이터가 없고, ExtraData 영역에 앱 관련 내용이 들어가 있는 것을 알 수 있다. ExtraData 영역은 사용자 정의 영역이므로 정확한 구조는 추가적인 분석이 필요하겠지만 간단히 보아 앱의 제조사와 경로가 포함되어 있는 것을 알 수 있다.
[그림 19] App.lnk 파일 데이터
3) 메트로 앱 목록
메트로 UI의 시작 화면에서 마우스 우측 버튼을 누르고 ‘All apps’를 선택하면 모든 앱 목록을 볼 수 있다. 이 목록에는 앱으로 개발된 애플리케이션도 있지만, 일반 애플리케이션도 바로가기 형태로 추가되어 있다. 프로그램을 새로 설치하면 기본적으로 이 목록에 추가되고, 사용자는 원하는 앱만으로 시작 화면을 꾸밀 수 있다.
그렇다면 전체 앱 목록은 어디서 관리하는 것일까? 전체 앱 목록은 다음 파일에 기록되어 있다.
• %SystemDrive%\Users\%UserName%\AppData\Local\Microsoft\Windows\appsFolder.itemdata-ms
[그림 20]과 같이 연속된 구조로 모든 앱을 관리하고 있다.
[그림 20] appFolder.itemdata-ms 파일 데이터
4) 메트로 앱 설정과 실행 상태
메트로 앱의 설정과 실행 상태 정보는 다음 폴더에서 확인할 수 있다.
• %SystemDrive%\Users\%UserName%\AppData\Packages
경로에는 [그림 21]과 같이 각 앱마다 폴더가 하나씩 있다. 이 경로에서도 삭제된 ‘WordPress’의 흔적을 찾을 수 있다.
[그림 21] Packages 폴더 내용
[그림 22]는 Microsoft Reader 앱 폴더의 내용이다. 앱에 따라 조금 차이는 있지만 대부분 다음과 같은 구조를 가진다.
[그림 22] Packages 폴더 하위의 Microsoft.Reader 앱 폴더 내용
상태(State) 정보를 저장하는 폴더 이외에 설정(Settings) 정보를 저장하는 폴더도 보인다. [그림 23]은 설정 폴더의 내용이다.
[그림 23] Microsoft.Reader 앱의 설정 폴더 내용
[그림 24]는 설정 정보를 저장하는 settings.dat 파일의 데이터이다. 설정 파일이 레지스트리 파일에서 사용하는 하이브(Hive) 구조로 되어 있음을 알 수 있다.
[그림 24] settings.dat 데이터
앱에 따라 설정과 상태 정보 이외에 캐시 정보와 MRU 정보도 저장된다. 따라서 윈도우 8 분석 시, 반드시 해당 경로의 파일을 분석하여 사용자의 앱 사용 흔적을 확인할 필요가 있다.
5) 메트로 앱 인터넷 사용 흔적
메트로 앱 중에는 인터넷 정보를 이용하는 앱이 있다. 브라우저에서 인터넷을 사용하면 쿠키, 히스토리, 캐시 정보가 남는데 앱에서도 인터넷 정보를 이용한다면 이런 정보가 저장된다. 앱의 인터넷 사용 흔적은 다음 경로에 저장된다.
• %SystemDrive%\Users\%UserName%\AppData\Packages\%MetroAppName%\AC\[Sub Folders]
[그림 25]는 인터넷 익스플로러 앱의 AC 폴더를 살펴본 것이다. 하위 폴더 이름에서 알 수 있듯이 기존 인터넷 익스플로러의 사용 흔적(캐시, 쿠키, 히스토리, 사용자 데이터 등)이 남는 것을 알 수 있다. 따라서, 해당 데이터를 분석하면 앱을 이용한 인터넷 사용 흔적을 알아낼 수 있다.
[그림 25] 인터넷 익스플로러 앱의 AC 폴더 내용
인터넷 익스플로러와 같이 브라우저 앱이 아니더라도 인터넷을 사용하는 앱이라면 관련 흔적을 찾을 수 있다. 그렇다면 인터넷 익스플로러의 경우 앱을 이용해 브라우징했을 때, 일반 애플리케이션의 인터넷 사용 흔적 경로인 다음 위치에도 흔적이 남을까?
• %SystemDrive%\Users\%UserName%\AppData\Local\Microsoft\Windows\History
• %SystemDrive%\Users\%UserName%\AppData\Local\Microsoft\Windows\Temporary Internet Files
• %SystemDrive%\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Cookies
실험 결과, 중복해서 흔적을 남기지는 않는 것을 확인했다. 앱을 사용했을 때에는 앱 폴더에만, 일반 애플리케이션을 사용했을 때에는 기존 경로에만 흔적이 남았다. 따라서, 윈도우 8을 분석할 때에는 기존의 인터넷 사용 흔적 외에 앱 폴더의 사용 흔적도 반드시 분석해야 한다.
6) 메트로 앱 저장소
메트로 아티팩트를 찾던 중 저장소라는 이름을 가진 폴더를 찾았다.
• %SystemDrive%\ProgramData\Microsft\Windows\AppRepository
[그림 26] AppRepository 폴더 내용
저장소 경로에는 [그림 26]과 같이 각 앱과 관련한 XML 파일이 저장되어 있다. 이 XML 파일은 앱 개발 시 매니페스트 설정을 하는 appxmanifest.xml 파일이다. 여기에서도 삭제된 ‘WordPress’ 흔적을 살펴볼 수 있다.
추가적으로 Exchange EDB 파일도 존재하는데 윈도우 설치 후 변경되지 않아 정확히 어떤 정보를 기록하는지 알 수는 없었다.
7) 빠른 접근 메뉴 설정 파일
앞서 화면 왼쪽 아래 모서리의 화면 전환 버튼에서 마우스 우측 버튼을 클릭했을 때 나타나는 빠른 접근(Quick Access) 메뉴에 대해 살펴봤다. 빠른 접근 메뉴는 기본적으로 [그림 27]과 같이 총 3개의 그룹으로 나눠져 있다.
[그림 27] 빠른 접근 메뉴의 그룹
각 그룹에 대한 설정 정보는 다음 폴더에 위치한다.
• %SystemDrive%\Users\%UserName%\AppData\Local\Microsoft\Windows\WinX
[그림 28]과 같이 그룹은 폴더로 나눠져 있고, 각 폴더에는 링크 파일과 desktop.ini 설정 파일이 있다. 따라서, 해당 경로의 파일을 수정하면 간단하게 빠른 메뉴를 사용자에 맞게 꾸밀 수 있다.
[그림 28] WinX 폴더와 그룹 2 폴더의 내용
빠른 메뉴를 수정하는 방법은 다음과 같다.
• 메뉴 추가 : 추가하고자 하는 그룹에 링크 파일을 생성한다.
• 메뉴 삭제 : 각 그룹 경로의 링크 파일을 삭제한다. 적용하려면 explorer.exe를 재시작해야 한다.
• 메뉴 이름 변경 : 변경하고자 하는 그룹의 desktop.ini 파일을 편집한다.
• 메뉴 변경 : 링크 파일을 원하는 그룹으로 이동시키면 된다. 새로운 그룹(Group4) 메뉴를 만들고 싶다면 간단히 폴더를 생성하면 된다.
8) 기타 파일
앞서 살펴본 파일 이외에도 다음과 같은 파일이 추가적으로 생겼으나 정확한 구조나 정보는 아직 알려지지 않았다. 파일 이름만으로 보아 메트로 환경의 알림 서비스와 관련된 것으로 보인다.
• %SystemDrive%\Users\%UserName%\AppData\Local\Microsoft\Windows\Notifications\appda.dat
지금까지 윈도우 8 릴리즈 프리뷰 버전을 대상으로 새롭게 추가된 메트로 UI와 그로 인해 생성되는 아티팩트를 살펴보았다. 그 결과, 메트로 UI와 관련된 흔적은 기존 애플리케이션과 별도로 관리하고 있음을 알 수 있다. 따라서, 윈도우 8 시스템 분석 시 반드시 메트로 UI 아티팩트를 고려해야 한다.
다음 호에서는 윈도우 아티팩트인 레지스트리, 프리패치/슈퍼패치, 이벤트 로그 등이 윈도우 8로 넘어오면서 변경된 부분이 있는지 알아보겠다.@
