Windows 7·8 IconCahe.db 파일 포맷 분석 및 활용방안

The analysis of Windows 7·8 IconCache.db and its application

Abstract

디지털 포렌식 조사를 회피하기 위한 안티포렌식이 발전하고 있는 가운데, 안티포렌식 행위를 찾아내기 위한 포렌식 방법들 또한 다각도로 연구되고 있다. 사용자 행위분석을 위한 여러 요소 중 응용프로그램의 아이콘 정보를 저장하고 있는 IconCache.db 파일은 디지털 포렌식 조사를 위한 의미 있는 정보들을 제공하고 있다. 본 논문은 IconCache.db 파일의 특성을 알아보고 안티포렌식에 대응할 수 있는 활용방안을 제시한다.

Since anti-forensics have been developed in order to avoid digital forensic investigation, the forensic methods for analyzing anti-forensic behaviors have been studied in various aspects. Among the factors for user activity analysis, "Iconcache.db" files, which have the icon information of applications, provides meaningful information for digital forensic investigation. This paper illustrates the features of IconCache.db files and suggests the countermeasures against anti-forensics utilizing them.

I. 서론

최근 디지털 증거가 법정에서 중요한 증거가 되는 사례가 많아지면서, 디지털 증거를 삭제하거나 숨기는 등의 안티포렌식 기술도 함께 발전하고 있다.

때문에 안티포렌식 행위를 적발하기 위한 연구 또한 활발히 진행되고 있다. Windows Registry[1]와 PreFetch Folder[2] 등에 대한 분석이 안티포렌식 행위를 찾아내기 위한 대표적인 방법이다. 그러나 역설적이게도 Windows Registry와 PreFetch Folder의 삭제는 안티포렌식 방법 중 가장 기초적인 것에 해당한다.

IconCache.db 파일은 사용자 컴퓨터 및 외부 저장매체에서 열람 및 실행한 응용프로그램들의 아이콘 캐시정보를 저장하고 있다. 또한 기록된 응용프로그램의 아이콘 캐시 정보는 삭제되지 않는 특성을 가지고 있다. 그럼에도 불구하고 IconCache.db 파일은 안티포렌식 행위를 찾아내기 위한 분석대상으로 주목받지 못했다.

IconCache.db 파일은 사용자가 삭제했거나 외부 저장매체 등을 통해 실행 또는 열람한 응용프로그램의 흔적을 저장하고 있으므로, 사용자의 안티포렌식 행위를 분석하는 방법으로 의미가 있다.

따라서 기존의 사용자 행위분석 방법과 함께 Icon-Cache.db 파일을 분석하면 보다 효과적으로 디지털 증거를 분석할 수 있다.

본 논문에서는 IconCache.db 파일 구조를 비롯한 실행 메커니즘과 특성을 알아보고 디지털 포렌식 측면의 활용방안에 대해 연구하였다.

II. 관련 연구

앞서 언급한 바와 같이 안티포렌식 흔적을 찾기 위해 다양한 분야에 대한 연구가 이루어지고 있지만, IconCache.db 파일에 대한 연구는 상대적으로 미미 하였다.

현재까지 IconCache.db 파일에 대한 연구는 Jan Collie가 유일하다[3]. Jan Collie는 외부 저장매체 및 호스트 컴퓨터에서 응용프로그램을 복사 또는 실행, 열람 시 IconCache.db 파일에 기록되는 아이콘의 이미지와 아이콘의 저장 경로정보 값의 변화를 중심으로 IconCache.db 파일의 특성을 설명 하였다.

그러나 IconCache.db 파일의 구체적인 파일구조를 비롯하여 아이콘의 이미지 정보 및 아이콘이 저장된 경로정보 값의 기록 메커니즘에 대한 구체적인 연구가 부족하다. 또한 최근 사용자가 증가하고 있는 Windows Vista를 비롯한 7과 8의 IconCache.db 파일에 대한 구체적인 구조에 대한 연구도 이루어지지 않았다.

IconCache.db 파일이 디지털 포렌식 분석 대상으로 활용되기 위해서는 Windows Vista를 비롯한 7과 8버전의 IconCache.db 파일에 대한 구체적인 추가 연구가 필요하다.

III. IconCache.db 파일 구조

IconCach.db 파일은 Windows 95 부터 사용되고 있으며, 윈도우 버전별 파일의 이름과 저장 경로는 상이하다. 세부 내용은 Table 1.과 같다.

Table 1. The name and storage path of IconCache.db file

Windows XP 버전까지는 IconCache.db 파일의 이미지와 경로정보를 분석할 수 있는 분석도구 (ThumnailExpert¹⁾)가 개발되었기 때문에 Windows 7ㆍ8의 IconCache.db을 중심으로 분석을 진행하였다.

3.1 전체구조

Windows Vistaㆍ7ㆍ8의 IconCache.db 파일구조는 Fig. 1.과 같이 서로 상이하다. Windows Vista와 7에서는 파일 헤더와 경로정보, 이미지 데이터를 저장하는 부분으로 구분되어 있다. 그러나 Windows 8에서는 이미지 데이터 없이 경로정보만을 저장하고, 이미지 데이터는 Fig. 2.와 같이 별도의 파일에 따로 저장하고 있다.

Fig.1. File structure of IconCache.db in Windows Vista, 7 and 8

Fig.2. The stored image file of IconCache.db in Windows 8

Windows Vista와 7의 IconCache.db 파일은 각 아이콘의 이미지를 해상도에 따라 분류하여 BMP 이미지로 저장하고 있으며, 각각의 이미지 데이터 영역의 크기는 아이콘 캐시 데이터 증가와 비례하여 증가한다.

Windows 8은 Fig. 2.에서 보는 바와 같이 “%USERPROFILE%\ AppData\ Local\ Microso ft\ Windows\Explorer” 경로에 아이콘 캐시 이미지 데이터를 해상도별로 구분하여 파일로 저장하고 있다. 또한 Windows 7보다 해상도가 높은 96, 256, 1024 크기의 아이콘 데이터를 저장하고 있다.

IconCache.db 파일의 헤더 구조는 Table 2.와 같다. 파일 헤더에는 헤더의 크기, 시그니쳐, 파일 버전정보 등 일반적인 정보가 저장되어 있다.

Table 2. IconCache.db file header structure

IconCache.db 파일 헤더의 크기와 파일 버전 값이 Windows XP와 이후의 것이 상이하다. 세부 내용은 Table 3.과 같다.

Table 3. Windows version-specific IconCache.db file header value

IconCache.db 파일의 헤더 구조가 변경되었기 때문에 Jan Collie가 Windows XP의 IconCache.db 파일 분석 시 사용한 분석도구(ThumnailExpert²⁾)를 사용해 Windows Vistaㆍ7ㆍ8버전의 IconCache.db 파일을 분석하는 것은 어렵다.

3.2 경로정보 구조

IconCache.db 파일의 헤더정보 다음에는 아이콘의 경로정보가 저장되어 있다. 경로정보는 Fig. 3.과 같이 세 섹션으로 구분되어 저장된다. 또한 각 섹션이 시작하는 앞부분의 4byte는 섹션별 경로정보의 개수를 의미한다.

Fig. 3. The entire structure of path information of IconCache.db file

경로정보의 첫 번째 섹션에는 윈도우 설치 시 Default로 설치되는 아이콘의 경로정보와 사용자가 열람 또는 실행하는 응용프로그램의 아이콘 정보가 순서대로 저장된다. 두 번째 섹션에는 링크 또는 단축아이콘의 경로정보가 저장된다. 마지막으로 세 번째에는 윈도우 설치 후 사용자가 실행하거나 열람ㆍ복사한 응용프로그램의 아이콘 경로정보가 순서대로 저장된다.

경로정보의 첫 번째 섹션 구조는 두 번째와 세 번째 섹션 구조와 상이하며, 구체적인 구조는 Fig. 4.와 같다.

Fig.4. Structure-specific path information in each section

앞에서 언급했듯이 각 섹션별 경로정보의 개수를 의미하는 값에 이어 아이콘의 경로정보 값이 기록된다. 경로정보 앞부분에는 시그니쳐와 경로정보의 문자열 길이 값이 있고, 경로정보 뒤에는 아이콘 이미지 데이터의 위치정보가 기록되어 있다.

시그니쳐는 윈도우 버전별로 상이하며, 파일경로의 문자열 길이 값에 대한 계산 방법은 시그니쳐에 따라 다르다. 계산 방법은 Table 4.와 같다.

Table 4. The calculation methods depending on signatures and versions of Windows.

Fig. 5.의 첫 번째 경로정보 시그니쳐는 ‘01 00’ 이고, 파일경로의 문자열 길이 값은 ‘20 00’ 이다. Table 4.를 참고하여 경로정보의 문자열 길이를 계산하면 20h × 2 = 40h이 된다.

Fig.5. The hex structure of the first path information

Table 4.와 같이 시그니쳐에 의해 문자열 길이 값을 계산하는 방식이 달라지는 이유는 유니코드와 아스키코드 형식의 문자열 표기방법이 다르기 때문이다.

Fig. 4.를 보면 경로정보 뒤에 기록된 각각 4byte와 12byte의 헥사값이 기록되어 있는데, 이 부분에는 아이콘 이미지가 저장된 위치정보를 저장하고 있다.

Fig. 6.을 보면 IconCache.db 파일의 두 번째와 세 번째 경로정보 세션에서는 12byte 헥사값 중 마지막 4byte 값이 같은 쌍을 발견할 수 있다. “%USERPROFILE%\ appdata\ roaming\ micro soft\ windows\ libraries\ documents.library-ms”파일경로의 마지막 4byte와 세 번째 세션의 23번째 파일인 imageres.dll의 마지막 4byte 값(59 00 0000)이 같다.

23번째 파일(Imageres.dll)의 경로정보 뒤 4byte 값(16 FC FF FF)을 리틀앤디안으로 변환 후 2의 보수를 취하면 “1002”라는 값을 얻을 수 있는데, “1002”는 Imageres.dll 파일에 저장된 1002번째 아이콘 이미지를 가리킨다. Fig. 6.을 보면 Imageres.dll 파일의 1002번째 아이콘 이미지와 “%USERPROFILE%\ appdata\ roaming\ micro soft\ windows\ libraries\ documents.library-ms” 경로의 아이콘 이미지가 같음을 확인할 수 있다.

Fig.6. Calculating the location of icon image data

따라서 경로정보 뒤에 있는 4byte의 헥사값은 아이콘 이미지 데이터의 위치정보를 저장하고 있으며, 두 번째와 세 번째 섹션의 12byte 헥사값 중 마지막 4byte는 같은 아이콘 이미지 데이터를 연결해주는 역할을 하고 있다.

실험파일을 대상으로 이미지 데이터를 계산해본 결과 Fig. 7.과 같이 파일경로와 이미지 데이터를 매칭 시킬 수 있다.

Fig.7. Icons and images of icons in third section

윈도우 “*.dll” 파일에 저장된 아이콘 이미지 데이터를 사용하는 응용프로그램의 아이콘 이미지 데이터 위치 값 계산은 위에서 설명한 방법으로 계산할 수 있다. 그러나 고유한 아이콘 이미지 데이터를 사용하는 응용프로그램의 파일경로와 아이콘 이미지 데이터의 매칭 방법은 아직 연구 중이다.

IV. IconCache.db 파일의 특성

Jan Collie의 논문에서 연구된 IconCache.db 파일의 일반적인 특성 외에 디지털 포렌식 측면에서보다 의미 있는 특성을 찾아내기 위해 아이콘 캐시정보의 생성 및 삭제 메커니즘에 대해 추가연구를 진행하였다.

4.1 IconCache.db 파일의 데이터 생성

IconCache.db 파일의 실행 메커니즘을 알아보기 위해 MS에서 개발한 Process Monitor³⁾를 사용하여 실험하였다. 실험 결과 Fig. 8.과 같이 컴퓨터 부팅 시 IconCache.db 파일에 저장된 데이터가 Explorer 프로세스에 업로드된다.

Fig.8. IconCache.db file on Explorer Process after booting

응용프로그램에 저장된 아이콘 이미지 데이터는 일반적으로 PNG 파일로 저장된다. 그러나 IconCache.db 파일은 아이콘 이미지 데이터를 BMP 파일 형태로 저장한다.

Fig. 9.에서 보는 바와 같이 MS에서 개발한 Process Explorer⁴⁾를 사용하여 Explorer 프로세스를 모니터링한 결과, IconCache.db 파일은 IconCodecService.dll 파일을 통해 PNG 형태의 아이콘 이미지 데이터를 BMP 파일 형태로 변환하여 저장하는 것을 알 수 있었다.

Fig.9 Explorer process real-time monitoring

IconCache.db 파일은 사용자가 컴퓨터에서 파일을 실행하지 않고 단순히 응용프로그램의 아이콘만 열람한 경우에도 Fig. 10.과 같이 해당 아이콘에 대한 정보를 기록한다[3].

Fig.10. Viewing only the icon of the application

IconCache.db 파일은 응용프로그램의 설치, 복사 또는 아이콘의 단순 열람 시에도 사용자가 응용프로그램을 사용한 순서대로 관련 정보를 기록한다.

Fig. 11.은 3개의 응용프로그램을 차례로 복사 및 설치한 그림이다. 가장 먼저 decode.exe 파일이 복사되고, 이어서 atnotes.exe 파일의 설치 파일인 atnsetup95 파일을 복사한 후 실행하였다. atnsetup95 파일 실행으로 atnotes.exe 파일의 경로정보가 기록된 것을 알 수 있다. 마지막으로 decwindowsviewer.exe 파일을 복사하였다.

Fig.11. Copy and install the application procedure

Fig. 11.의 IconCache.db 파일을 보면 파일들이 복사되고 실행된 순서대로 기록되어 있음을 확인할 수 있다.

응용프로그램을 임의 폴더에 숨겨 컴퓨터에 복사 후 응용프로그램을 설치하거나 아이콘을 열람하지 않을 경우, IconCache.db 파일에는 어떠한 정보가 기록되는지 알아보기 위해 추가 실험을 수행하였다.

Fig. 12.와 같이 “Test1” 폴더에 각종 실행파일 및 압축파일 등을 저장 후 폴더를 실험 대상 컴퓨터에 복사하였다. 복사 이후 아이콘을 열람하거나 응용프로그램을 설치하지 않은 상태로 IconCache.db 파일을 분석하였다.

Fig.12. Copy the hidden icon files

실험 결과 폴더에 저장된 여러 종류의 파일 중 수정시간이 가장 최근인 두 개의 실행파일에 대한 아이콘 경로정보가 IconCache.db 파일에 기록되었다. Fig. 12.의 “Test1” 폴더 그림과 같이 아이콘을 크게 할 경우 보이는 2개의 미리보기 파일에 대한 정보가 IconCache.db 파일에 기록되는 것을 알 수 있다.

따라서 사용자가 응용프로그램을 임의의 폴더에 숨긴 채 컴퓨터에 복사하더라도 IconCache.db 파일을 통해 응용프로그램에 대한 정보를 얻을 수 있다.

IconCache.db 파일의 데이터 생성 시 특성은 아래와 같이 요약할 수 있다. IconCache.db 파일은 사용자가 실행하거나 열람했던 응용프로그램의 아이콘 정보를 순서대로 기록하며, 실행파일을 폴더에 숨긴 채 컴퓨터에 복사할지라도 수정시간이 가장 최근인 두 개의 실행파일에 대한 아이콘 캐시정보를 기록한다.

4.2 IconCache.db 파일의 데이터 삭제

앞에서 언급한 바와 같이 Explorer 프로세스에 업로드 되어있던 아이콘 캐시정보는 윈도우 종료시 IconCache.db 파일에 재기록된다. 따라서 IconCache.db 파일을 삭제하더라도 Explorer 프로세스에 업로드 되어있던 아이콘 캐시 데이터들은 삭제되지 않기 때문에 새로운 IconCache.db 파일을 생성하여 기존의 아이콘 캐시 데이터들을 다시 저장하게 된다.

그러나 불행하게도 IconCache.db 파일을 삭제한 후, 위도우를 비정상 종료시키거나 Explorer 프로세스를 강제 종료시키게 될 경우에는 Explorer 프로세스에 업로드 되어있던 아이콘 캐시 데이터들을 다시 저장할 수 있는 시간이 없기때문에 IconCache.db 파일은 초기화가 되어버린다. 초기화된 IconCache.db 파일은 두 번의 재부팅과정을 거쳐 다시 생성된다. 재생성된 IconCache.db 파일은 오직 바탕화면에 있는 아이콘 캐시 데이터만을 저장하게 된다.

Fig. 13. Deleting the IconCache.db file and after the abnormal termination, recreated the IconCache.db file and icons on desktop

Fig. 13.을 보면 초기화된 이후 재생성된 IconCache.db 파일에 저장된 아이콘 캐시정보와 컴퓨터 바탕화면의 아이콘이 일치함을 알 수 있다.

V. 디지털 포렌식 측면에서의 활용 방안

IconCache.db 파일은 컴퓨터 사용자가 사용한 응용프로그램의 아이콘 정보를 기록하고 있기 때문에 디지털 포렌식 관점에서 사용자 행위 분석을 위한 의미 있는 자료로 활용될 수 있다. 따라서 아이콘 캐시의 특성을 고려한 효과적인 수집 및 분석 방법을 제시하고자 한다.

5.1 삭제된 프로그램에 대한 정보 수집

컴퓨터에서 사용자가 사용한 응용프로그램의 흔적은 Windows Registry[4], PreFetch folder[2] 또는 단축아이콘[5]을 통해 확인할 수 있다.

그러나 컴퓨터 사용흔적 제거를 위해 레지스트리를 초기화하거나, 파일을 완전 삭제함으로써 관련 범죄행위에 대한 단서를 찾을 수 없도록 하는 등의 안티포렌식 행위는 이미 널리 알려진 방법이 되었다. 관련도구들 또한 인터넷을 통해 쉽게 다운 받아 사용할 수 있다.

그러나 응용프로그램을 삭제하더라도 IconCache.db 파일에 저장된 삭제된 응용프로그램의 아이콘 캐시정보는 삭제되지 않는다는 사실은 많은 사람들이 모르고 있다. 실제로 아래 실험을 통해 삭제된 응용프로그램의 흔적이 IconCache.db 파일에 남아있음을 확인할 수 있다.

dataforensics copy.exe와 dataforensics original.exe를 삭제한 후 IconCache.db 파일을 확인한 결과 Fig. 14.에서 보듯이 삭제된 파일에 대한 정보가 남아 있다.

Fig.14. IconCache.db files after deleting an application

Fig. 15.는 실험환경이 아닌 실제 데이터를 분석한 결과이다. Fig. 15.에 기록된 완전삭제 프로그램은 (Revo Uninstaller⁵⁾) 레지스트리 분석 시에는 발견할 수 없었으나, IconCache.db 파일에서는 설치 흔적을 확인할 수 있었다.

Fig.15. The installation trace of deleted the wiping-tool

따라서 컴퓨터에 응용프로그램의 설치 및 사용 흔적이 삭제되었을 경우, IconCache.db 파일 분석을 통해 과거에 사용되었으나 현재에는 삭제된 응용프로그램에 대한 정보를 얻을 수 있다.

5.2 삭제된 프로그램의 상대적인 시간정보 확인

위에서 언급한 바와 같이 IconCache.db 파일을 통해 삭제된 응용프로그램에 대한 정보를 얻을 수 있다.

따라서 IconCache.db 파일에 남아있는 삭제된 응용프로그램의 정보와 레지스트리 및 프리패치에 남아있는 다른 응용프로그램들의 시간정보를 비교 분석하면 삭제된 응용프로그램의 상대적인 설치시간을 확인할 수 있다.

Fig. 16.을 보면 삭제된 bcwipeSetup.exe 파일이 2013년 9월 13일 19:25:45 ~ 19:41:22 사이에 설치되었었음을 추론할 수 있다.

Fig.16. Inferring the relative time of deleting files

삭제된 응용프로그램과 전ㆍ후에 설치된 응용프로그램의 시간 차이가 많을 경우 구체적인 시간정보를 획득하는 것은 제한될 수 있으나, 프로그램의 실행 순서 또는 사건의 전ㆍ후 관계 등을 파악할 수 있는 단서로 활용될 수 있다.

5.3 안티포렌식 행위 분석

IconCache.db 파일은 사용자가 외장형 저장매체에 있는 실행파일을 열람하거나 복사ㆍ실행 할 경우에도 관련 응용프로그램의 아이콘 캐시 정보를 기록한다.

Fig. 17.을 보면 USB에 저장된 Eraser 프로그램을 단순히 열람만 했음에도 불구하고, IconCache.db 파일에는 F드라이브에 저장된 Eraser 프로그램에 대한 정보가 기록된다.

Fig.17. Eraser program stored in a USB

따라서 사용자가 USB에 완전삭제 프로그램을 저장하고 있거나, 그것을 활용하여 컴퓨터에 저장된 증거자료를 삭제하였을 경우, IconCache.db 파일 분석을 통해 사용자의 안티포렌식 행위에 대한 단서를 찾을 수 있다.

5.4 악성코드 침해 분석

악성코드의 경우 컴퓨터 사용자가 일반적으로 접근하지 않거나 인지하기 어려운 장소에 저장된다. 때문에 악성코드에 감염되었을 경우 감염여부 인지와 더불어 악성코드가 설치된 위치를 찾는 것이 쉽지 않다.

Fig.18. Malicious code path information

그러나 Fig. 18.과 같이 IconCache.db 파일에 저장된 악성코드 “qrzwei.exe”[6]의 아이콘 캐시정보를 통해 “c:\windows\help\qrzwei.exe” 경로에 악성코드 “qrzwei.exe”가 저장되어 있음을 확인할 수 있다.

5.5 기타 프로그램 실행 흔적

IconCache.db 파일은 외부 저장매체에 저장된 응용프로그램의 아이콘 정보뿐만 아니라 CD/DVD에 저장된 응용프로그램의 정보도 포함하고 있다. 또한 인터넷을 통해 응용프로그램을 다운로드 할 경우 응용프로그램을 다운로드 받은 인터넷 URL 주소를 Fig. 19.와 같이 저장하고 있다.

Fig.19. Stored URL address during application downloads from the Internet

그리고 네트워크를 통해 공유된 컴퓨터에 저장된 응용프로그램을 열람 및 실행할 경우에도 공유된 컴퓨터와 응용프로그램의 이름을 확인할 수 있다. 네트워크에서 공유된 컴퓨터 “sylar”에 저장된 응용프로그램“jd-gul.exe”를 열람하자 Fig. 20.과 같이 IconCache.db 파일에 관련 기록이 저장된다.

Fig.20. Viewing the shared icon on shared folder

위 실험에서 보는 바와 같이 IconCache.db 파일분석을 통해 악성코드 탐지 및 인터넷을 비롯한 네트워크에서의 사용자 행위를 분석할 수 있다.

5.6 IconCache.db 파일 분석 도구 소개

현재까지 분석된 IconCache.db 파일 구조를 바탕으로 Windows 7ㆍ8에서 사용할 수 있는 IconCache.db 파일 분석 도구(Fig. 21.)를 개발하였다. 분석도구는 인터넷⁶⁾에서 다운받아 사용할 수 있다.

Fig.21. IconCache_Viewer for Windows Vista, 7 and 8

VI. 결론 및 향후 연구방향

IconCahe.db 파일은 사용자가 실행하거나 열람, 설치, 복사, 저장한 응용프로그램의 아이콘 이미지와 경로정보를 저장하고 있어, 안티포렌식 행위에 대한흔적을 탐지할 수 있다. 또한 악성코드를 비롯해 인터넷 및 네트워크를 통해 다운로드 또는 열람한 파일에 대한 정보도 확인할 수 있다. 때문에 디지털 포렌식 관점에서 사용자 행위를 분석하는데 의미 있는 자료로 활용될 수 있다.

아쉽게도 IconCache.db 파일은 아이콘 캐시정보에 대한 시간정보를 가지고 있지 않은 단점이 있다. 그러나 분석가가 기존의 디지털 포렌식 분석방법과 융합하여 활용한다면, 삭제된 파일의 상대적인 설치시간정보와 같은 의미 있는 결과를 얻을 수 있다.

Windows Vistaㆍ7ㆍ8 버전용 IconCache.db 파일 분석도구는 아직 경로정보만을 분석할 수 있다. 때문에 향후 연구에서는 윈도우의 기본 아이콘을 사용하지 않는 응용프로그램의 아이콘 이미지 데이터에 대한 추가 연구를 통해 아이콘 이미지 데이터까지 분석할 수 있는 도구를 개발할 예정이다.

* 이 논문은 2013년도 정부(미래창조과학부)의 재원으로 한 국연구재단-공공복지안전사업의 지원을 받아 수행된 연구 입니다.(2012M3A2A1051106)