복원 지점과 쉐도우 복사

복원 지점과 쉐도우 복사 Restore Point & Shadow Copy

컴퓨터에 문제가 생기면 잘 작동되던 시점으로 돌아갈 수 있다. 윈도우에서는 이러한 시점을 복원 지점이라고 부른다. 

복원 지점

복원 지점은 핵심 시스템 구성과 설정을 특정 시점에 스냅샷을 한 것이다(Microsoft Corporation). 스냅샷은 시스템을 다시 작동할 수 있도록 복구하는 곳에 사용된다. 복원 지점은 여러가지 방법으로 만들어진다. 소프트웨어 설치같이 주요 시스템 이벤트 전에 자동으로 시스템에 의해 생성될 수도 있다. 아니면 "주 1회"처럼 정기적으로 생성될 수도 있다. 사용자가 직접 생성할 수도 있다. 복원 지점은 디폴트로 활성화되어 있으며 매일 자동으로 하나의 스냅샷이 생성된다.

복원 지점에는 메타데이터가 저장되어 있다. 이 정보는 복원 지점이 언제 생성되었는지 판단하는 데 매우 중요하다. 복원 지점에 증거가 저장되어 있으면 정확히 언제 데이터가 시스템에 존재하고 있었는지 알 수 있다. 

일반인들은 정보를 숨기려고 할 때 복원 지점부터 삭제를 시작하지 않는다. 

윈도우 8.1에서의 복원 지점 확인 

사건 파일: 인터넷 사용 기록과 복원 지점

아동 포르노를 소장하고 있다가 고소된 피고는 해당 사이트를 단 한 번, 그것도 실수로 방문하였다고 주장하였다. 사실여부를 확인하기 위해 조사관은 지난 2개월 간의 복원 지점을 확인하였다. 복원 지점의 레지스트리 파일을 조사한 결과 아동 포르노 사이트를 여러 번 방문하였을 뿐만 아니라 브라우저의 주소창에 직접 사이트의 URL을 입력했다는 것이 나왔다. 따라서 실수로 방문했다는 주장은 신빙성이 없어지게 되었다. 새로운 증거가 나타나자 피고는 바로 그 죄를 인정했다.

쉐도우 복사

쉐도우 복사는 복원 지점의 소스 데이터이다. 복원 지점과 마찬가지로 쉐도우 파일은 살펴볼 만한 가치가 있는 또 다른 흔적이다. 특정 파일이 시간이 경과하면서 어떻게 변화하였는지 증명할 수 있다. 그리고 이미 삭제된 파일의 복사본이 저장되어 있을 수도 있다(Larson, 2010).

사건 파일: 복원 지점, 쉐도우 복사, 안티 포렌식

텍사스 법무장관실 소속의 사이버 수사팀은 정보를 입수하여 용의자의 집을 수색하러 갔다. 사이버 수사팀은 용의자가 아동 포르노를 인터넷에 올린다는 것에 대한 제보를 받고 검색 영장을 발부받았다. 경찰들은 용의자를 심문하고 그의 차를 수색하였다. 자동차 안에는 노트북 컴퓨터가 있었다. 

포렌식 조사를 위해 압수된 모든 물품은 사무실로 가져갔고, 용의자의 노트북을 조사하는 과정에서 놀라운 사실을 발견하였다. 용의자는 경찰관을 만나기 위해 집으로 돌아오는 동안에 데이터 삭제 툴을 사용하여 증거 사진뿐만 아니라 인터넷 기록까지 모든 증거 자료를 컴퓨터에서 삭제한 것이다. 

조사관들은 데이터 삭제 프로그램 자체의 로그^[각주:1]를 확보하여 프로그램이 실제로 사용된 적이 있다는 것을 알 수 있었다. 조사관들은 컴퓨터의 쉐도우 복사를 확인해보기로 결정했다. 

다음으로 용의자의 노트북 컴퓨터의 포렌식 이미지(clone)를 가상 환경에 로드하였다. 이렇게 하여 조사관들은 용의자가 보았던 것과 동일한 컴퓨터 시스템을 볼 수 있었다. 조사관은 복원 지점을 용의자의 노트북에서 가져온 후에 이 파일을 포렌식 툴에서 불러들였다. 이 과정을 통해 조사관들은 용의자의 시스템 복원 지점으로부터 사진과 다른 정보를 축출할 수 있었다. 그 결과 3,000개 이상의 아동 포르노 사진을 복원할 수 있었다. 추가적으로 포르노 파일을 검색하고 다운로드한 것을 보여주는 로그 파일도 찾을 수 있었다. 이 모든 증거가 확보되자 용의자는 잘못을 인정했고 10년형을 선고 받아 현재 텍사스 교도소에서 수감 중에 있다. 

출처

• 이제 시작이야 디지털 포렌식

1. 컴퓨터, 서버 등에서 게임 플레이 정보를 시간에 따라 남기는 기록. [네이버 지식백과] 로그 [Log, Rogue] (게임용어사전: 기관/용어, 2013.12.12) [본문으로]