securityfirst_jo

로컬 컴퓨터에서 이메일을 수집할 때 어떤 프로토콜을 사용하는지 확인해야합니다.

​

이메일에서 대표적으로 사용되는 프로토콜은 POP3와 IMAP 수신 프로토콜입니다.

​

이메일 프로토콜은 송신과 수신이 다른 종류로 이루어져 있습니다.

​

POP3 프로토콜은 사용자가 이메일 서버와 연동하면 사용자가 다운로드하지 않은 이메일을 서버가 모두 보내주는 비동기화 방식을 사용합니다.

​

비동기화 방식은 오프라인 작업에 쓰이는데 데이터를 수정하거나 삭제해도 서버에 기록된 원본 이메일 데이터에 영향을 주지 않기 때문입니다.

​

단점으로는 많은 용량의 데이터가 서버에 있고 처음 POP3로 연동했을 때 모든 용량을 모두 받아오게 되어서 비효율적입니다.

​

IMAP 프로토콜은 서버에 이메일이 저장되며 사용자가 메일을 삭제하거나 수정하면 서버에 메일도 삭제되거나 수정되는 동기화 방식을 사용합니다.

​

실시간으로 서버와 연동하기 때문에 공동 작업시에 효율적입니다.

​

수정하거나 삭제하면 원본 데이터를 잃기 때문에 별도의 백업 관리가 필요하다는 단점이 있습니다.

어떤 프로토콜을 사용하는가에 따라 수집할 아티팩트의 경로나 데이터가 달라질 수 있기 때문에 이메일 관련 아티팩트 분석은 프로토콜을 먼저 파악하는 것이 순서입니다.

​

오늘은 MS 오피스 아웃룩과 윈도우 10 기본 이메일 앱에 대하여 분석해보는 시간을 가지도록 하겠습니다.

​

MS 오피스 아웃룩

​

아웃룩(Outlook)은 마이크로소프트사의 상용 소프트웨어인 오피스에 있는 개인 정보 관리 응용프로그램입니다.

​

제 컴퓨터상에 있는 아웃룩 버전은 2016버전으로 2013 이후 아웃룩 아티팩트 분석 방법을 통해 분석해야합니다.

​

2013 이상 버전은 2007, 2010 버전과 다르게 POP3 프로토콜로 연동할 경우에만 .pst확장자를 가진 파일을 생성합니다.

​

.pst는 personal storage table의 약자이고 IMAP 프로토콜과 연결하여 메일을 동기화할 경우 off-line storage table 약자를 가진 .ost 확장자 파일이 로컬에 생성됩니다.

​

pst 파일은 원본 이메일이 기록된 파일이며, ost 파일은 캐시 형태로 기록된 파일입니다.

​

먼저 ost 파일의 저장경로는 다음과 같습니다.

​

C:\Users\USER\AppData\Local\Microsoft\Outlook

​

이 경로에 이메일주소.ost 형태로 저장됩니다.

​

ost 파일은 서버와 동기화하는 IMAP 프로토콜 특성상 캐시데이터를 보관하고 관리할 필요가 있기 때문입니다.

​

사용자는 ost 파일에 저장할 데이터의 기록 기간을 정할 수 있습니다.

​

예를 들어 1개월로 설정할 경우 서버에서 한달 전까지의 데이터를 다운로드해서 .ost 파일에 기록하고 1개월이 지나면 삭제합니다.

​

ost 파일은 ost viewer를 통하여 열람이 가능합니다.

​

윈도우 10 기본 이메일 앱

​

윈도우 10 기본 메일 응용프로그램은 별도의 설정 없이 기본 값으로 외부 이메일 서버와 연동할 경우 IMAP 프로토콜을 이용합니다.

​

어떤 이메일 통신방법을 사용했는지 알아보려면 다음 레지스트리 경로를 열람합니다.

​

컴퓨터\HKEY_CURRENT_USER\SOFTWARE\Microsoft\ActiveSync\Partners\{C6340B54-7CC9-4C2B-A135-8C11442A00B7}

윈도우 이메일 연동 프로토콜을 확인 가능합니다.

​

IMAP을 사용하고 있습니다.

​

연동된 이메일은 다음 위치에 데이터가 저장됩니다.

​

C:\Users\USER\AppData\Local\Comms\Unistore\data

​

3은 메일 본문을 저장하고 7은 첨부파일을 기록합니다.

​

각각은 영문자 폴더로 저장되고 폴더 안에는 .dat 파일이 저장되어 있습니다.

​

파일 내부에는 주로 HTML 형태나 파일 원본이 저장됩니다.

감사합니다! :)