티스토리 뷰

Digital Forensics/Tools

Everything

Noctis41 2025. 3. 6. 21:57

1. Everything 프로그램이란?

Everything은 Windows에서 파일 및 폴더를 빠르게 검색할 수 있도록 도와주는 무료 검색 도구입니다. 기본적으로 인덱싱을 통해 파일 시스템을 실시간으로 반영하며, 다양한 검색 연산자를 활용하여 특정 파일을 손쉽게 찾을 수 있습니다.

디지털 포렌식에서 Everything은 삭제된 파일을 찾거나, 특정 기간 동안 변경된 파일을 추적하는 데 유용하게 사용될 수 있습니다. 특히, 특정 날짜에 생성되거나 수정된 파일을 검색하는 기능은 침해 사고 분석(Incident Response) 과정에서 필수적입니다.

2. Everything의 주요 검색 연산자

Everything에서는 다양한 검색 연산자를 활용할 수 있으며, 포렌식 분석에서 가장 중요한 기능은 파일의 생성 날짜(dc:), 수정 날짜(dm:), 접근 날짜(da:)를 기준으로 검색하는 것입니다.

(1) 특정 날짜에 생성된 파일 찾기

 dc:2025-03-05 C:\Program

위 쿼리는 C:\Program 디렉터리 내에서 2025년 3월 5일에 생성된 파일을 검색합니다.

(2) 특정 날짜에 수정된 파일 찾기

 dm:2025-03-05 C:\Program

이 쿼리는 2025년 3월 5일에 수정된 파일을 찾을 수 있습니다. 만약 특정 악성코드가 실행되어 파일이 변경된 경우 이를 통해 확인할 수 있습니다.

(3) 특정 날짜에 접근(실행)된 파일 찾기

 da:2025-03-05 C:\Program

이 쿼리는 2025년 3월 5일에 실행되거나 접근된 파일을 찾을 때 유용합니다. 악성코드나 외부 해커가 접근한 파일을 추적하는 데 활용할 수 있습니다.

(4) 특정 날짜 범위 내에서 생성된 파일 찾기

 dc:2025-03-04-2025-03-05 C:\Program

위 명령어는 2025년 3월 4일부터 2025년 3월 5일 사이에 생성된 파일을 검색합니다. 여러 날짜에 걸쳐 변경된 파일을 분석할 때 유용합니다.

(5) 특정 날짜 범위 내에서 특정 확장자의 파일 찾기

 dc:2025-03-04-2025-03-05 C:\Program *.pdf

이 명령어는 C:\Program 디렉터리에서 2025년 3월 4일부터 2025년 3월 5일 사이에 생성된 PDF 파일을 검색합니다. 특정 확장자를 지정하여 문서 파일이나 로그 파일을 추적할 수 있습니다.

(6) 특정 파일 크기 이상 또는 이하의 파일 검색

 size:>100mb C:\Users

이 쿼리는 100MB보다 큰 파일C:\Users 폴더 내에서 검색합니다. 대용량 로그 파일이나 비정상적으로 큰 파일을 찾을 때 유용합니다.

 size:<5KB C:\Users

이 명령어는 1KB보다 작은 파일을 검색합니다. 일부 악성코드는 매우 작은 파일 크기를 가지므로 이를 활용하여 분석할 수 있습니다.

(7) 특정 확장자별 파일 검색

 ext:exe | ext:dll C:\Windows

이 쿼리는 C:\Windows 폴더 내에서 EXE 또는 DLL 확장자를 가진 파일을 검색합니다. 시스템 실행 파일이나 라이브러리 파일을 조사할 때 유용합니다.

(8) 특정 파일명 또는 키워드가 포함된 파일 검색

 "pdf" C:\Users

이 명령어는 C:\Users 폴더에서 'pdf'라는 단어가 포함된 파일을 검색합니다. 특정 키워드와 관련된 문서를 찾는 데 효과적입니다.

pdf|exe C:\Users

이 명령어는 'pdf' 또는 'exe' 단어가 포함된 파일을 검색합니다. 특정 키워드가 여러 개 있는 경우 유용합니다.

(9) 숨김 속성이 있는 파일 검색

 attrib:h C:\Users

이 명령어는 C:\Users 폴더 내에서 숨김(hidden) 속성이 설정된 파일을 검색합니다. 공격자가 숨긴 악성코드 파일을 찾을 때 유용합니다.

(10) 읽기 전용 속성이 설정된 파일 검색

 attrib:r C:\Users

이 쿼리는 C:\Users 폴더에서 읽기 전용(read-only) 속성이 있는 파일을 검색합니다. 일부 보호된 문서 파일이나 특정 설정 파일을 찾을 때 활용할 수 있습니다.

3. 포렌식에서 Everything의 활용

Everything은 디지털 포렌식 분석에서 아래와 같은 다양한 활용 사례가 있습니다.

  1. 랜섬웨어 감염 분석: 특정 날짜에 생성된 암호화된 파일을 찾아 감염 경로를 추적.
  2. 악성코드 실행 흔적 분석: 특정 날짜에 접근된 파일을 통해 실행된 프로그램 확인.
  3. 사용자 활동 분석: 특정 기간 동안 생성, 수정, 접근된 파일을 찾아 사용자 행동 분석.
  4. 삭제된 파일 분석: 다른 복구 도구와 병행하여 삭제된 파일의 흔적을 찾고, 관련 파일을 조사.
  5. 파일 크기 기반 분석: 비정상적으로 큰 파일이나 작은 파일을 찾아 악성코드 여부 확인.
  6. 확장자별 분석: 실행 파일, 문서 파일 등을 구분하여 분석하여 침해 여부 판단.

'Digital Forensics > Tools' 카테고리의 다른 글

Shadow Explorer  (0) 2025.03.06