Windows Forensic/Evidence Analysis

[Digital Forensic] Print Information Analysis

DF_m@ster 2024. 1. 6. 14:45
반응형

Spool File: 사용자가 프린트 작업을 실행하면, 컴퓨터가 프린트 내용을 프린터로 보내기 전에 임시 저장하는 파일이다. 프린터가 준비되면, 스풀 파일들은 순차적으로 프린터로 전송되어 인쇄 작업이 이루어지고 인쇄가 완료되면 Spool File은 삭제된다.

 

디스크 분석 과정에서 이러한 Spool File의 존재는 중요한 이벤트로 여겨진다. Spool File의 분석으로 어떤 사용자가 어떤 프린터로 어떤 내용을 출력했는지를 확인할 수 있기 때문이다.

 

Type of Spool File

Spool 방식은 두 가지로 'RAW' 방식과 'EMF' 방식으로 나뉜다. Spool 방식 변경 및 확인 방법으로는 '프린터 및 스캐너'에서 확인하려는 프린터를 선택하고 '프린터 속성'을 선택한다.

 

이후에 '고급' 항목을 선택하고 '인쇄 처리기'를 선택한다.

 

'기본 데이터 형식' 항목에서 Spool 방식을 선택할 수 있다. 참고로 Spool 방식의 기본 설정은 'RAW' 방식이다.

 

 

 

Spool File의 종류는 두 가지로 '.SPL' 확장자 파일과 '.SHD' 확장자 파일로 나뉜다. 파일의 이름은 컴퓨터 포맷 이후 출력 횟수가 이름으로 지정된다. 기본적으로 다섯 자리까지 표기되며, 만약 7번째 출력이라면 나머지 자리는 '0'으로 저장되어 '00007'의 형태로 파일 이름이 저장된다.

1. '.SPL' 확장자 파일: 프린트 작업의 설정, 상태 정보, 사용자 이름, 문서 이름, 프린트 작업 ID 등이 저장된다.

2. '.SHD' 확장자 파일: 인쇄할 문서의 내용을 포함하며, 특정 프린터 언어(: PCL 또는 PostScript) 형식으로 저장된다.

 

Spool File Location

Windows에서 Spool File은 '%SystemRoot%\System32\spool\PRINTERS' 경로에 저장된다. 여기서 '%SystemRoot%'는 일반적으로 'C:\Windows' 의미한다. 따라서 경로는 'C:\Windows\System32\spool\PRINTERS' 동일한 경로 의미한.

Spool File Location

 

 

Spool File Analysis

Spool File을 상세 분석하기 위해 실습으로 진행했다. 실습을 위해, 100MB 용량의 디스크를 MBR 초기화한 , 동일한 크기의 NTFS 파티션을 만들었다. 추가적으로 Root Directory 이하 'spool' 폴더를 생성하고, 디렉터리 이하에 '00007.SHD', '00007.SPL' 파일을 저장했다. 필자의 컴퓨터에는 프린터가 없어, 이때 Spool File은 외부의 다른 컴퓨터에서 가져왔다.

 

아래는 Autopsy로 분석을 진행한 결과이다.

spool 폴더 이하에 2개의 spool file('00007.SHD', '00007.SPL')이 확인된다.

 

Autopsy에서 SHD 파일을 Text View를 확인하면, 사용자 계정 이름, 출력 파일 이름, 프린터 정보, 컴퓨터 이름(₩₩), 윈도우 계정 ID 등의 정보 확인이 가능하다. 해당 정보를 통해 같은 PC일지라도 어떠한 사용자가 해당 파일을 출력했는지 특정이 가능하다.

 

아래는 SPL 파일과 SHD 파일을 추출하고 HxD로 열어본모습이다. SPL 파일은 SPL Viewer 툴 혹은 실제 출력으로 출력물의 내용 확인이 가능하다.

SPL 내부 모습
SHD 내부 모습

반응형