data leakage case #37, print forensic

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html

#37. How and when did the suspect print a resignation file?

---

1. XPS 파일 확인

2. 레지스트리 분석(설치된 프린터 드라이버 확인)

1. XPS 파일 확인

---

이전글 data leakage case #36, DOCX file searching 에서 resignation file 의 경로 \Users\Informant\Desktop\Resignation_Letter_(Iaman_Informant).docx 를 알 수 있으며, WinHex 에서 해당경로로 이동하게 되면 .xps 파일이 존재한다.

WinHex 의 시간값은 HOST-PC 의 time zone(UTC+9)이므로, 분석 대상 PC 의 time zone(UTC-4) 를 적용하기 위하여, -13을 해준다.

Created : 2015-03-25 오전 11:28:33, Modified : 2015-03-25 오전 11:28:34

[참고] https://m.blog.naver.com/PostView.nhn?blogId=nuwanamj&logNo=10028598176&proxyReferer=https%3A%2F%2Fwww.google.com%2F

XPS 파일이란?

XPS(XML Paper Specification)는 장치에 상관없이 동일한 모습의 문서를 표시하기 위한 표준이다.  이는 MS가 제시하는 거창한 비전이고 개인적인 생각으로는 PDF가 움켜쥐고 있는 문서관리 시장을 겨냥한 것이라고 생각한다. 기본적으로 PDF와 같은 개념이며, 링크와 보안면에서 다소 향상된 기능을 제공한다고 한다. 중요한 것은 .NET Framework 을 이용해서 프로그래밍이 가능하며, .NET Framework 3.0 이상이 설치되면 자동으로 Viewer가 제공된다는 것이다.

XPS는 여러가지 형태의 문서를 각 타입의 애플리케이션이 표시하는 모습과 거의 같은 모습으로 표시할 수 있다. 이는 다양한 타입으로 저장되어 있는 문서를 XPS 타입으로 변환해서 저장할 경우, 사용자들이 단순히 XPS Viewer만 가지고 있으면 모든 문서를 볼 수 있다는 이야기이다. 여러가지 타입의 문서를 XPS로 문서로 변환하는 방법은 1) 사용자의 동작에 의한 명시적인 변환 방법. 2) Office 2007 의 기능을 이용한 프로그래밍 적인 방법이 있다.

XPS Document Writer 란?

XPS Document Writer는 .NET Framework 3.0을 설치할때 함께 설치되는 프린터 드라이버이다. 유틸리티가 아니라 프린터 드라이버이므로 어떠한 타입의 파일이라도 XPS로 저장할 수 있다. 종이로 인쇄되는 것이 아니라 XPS 파일로 인쇄되는 것이다. 이 방법은 사용자가 항상 XPS Document Writer로 인쇄를 해야만 해당 파일이 XPS로 변환되는 단점이 있다.

2. 레지스트리 분석

---

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers\ 경로를 보면 사용한 프린터 드라이버 목록을 볼 수 있다.

3. 결론

---

1과 2의 결과를 종합하여, 용의자는 2015-03-25 오전 11:28:34 경 XPS 포맷으로 해당 문건을 출력하였다고 생각할 수 있다.