WSL(Windows Subsystem for Linux) Artifacts

* TIP 글은 Case 분석 시 참고할만한 내용 혹은 분석 과정에서 발견한 흔적에 대해 실험하고 연구한 내용을 간단히 작성한 글입니다.
This post is related case study or DFIR artifacts research.

* 본 글에서 상세한 내용은 언급되지 않습니다. 자세한 내용은 메일로 연락 주시면 감사하겠습니다.
This post is so simple, If you are interested contact to me(


본 내용은 내부 발표 자료 중 일부를 발췌 한 것입니다. (본 글 일부분은 이종찬 연구원이 논문 리뷰하며 외부에서 발표한 글을 수정한 글입니다.)
This is an excerpt of some of the internal presentation materials. (Part of this article is a revised article published by researcher Lee Jong-chan while reviewing his thesis.)

WSL (Windows Subsystem for Linux)은 윈도 운영체제에서 리눅스 커널을 지원하기 위한 모델입니다. 리눅스와 윈도 운영체제는 커널 구조가 다르기 때문에 각 운영체제에서 파생되는 결과물 또한 다릅니다.
Windows Subsystem for Linux (WSL) is a model for supporting Linux kernels on Windows operating systems. Because Linux and Windows operating systems have different kernel structures, the results derived from each operating system are also different.

  1. WSL을 통해 생성된 프로세스는 기존 윈도 프로세스의 EPROCESS를 기반으로한 PicoProcess로 불리는 특별한 구조를 가지고 있습니다. PicoProcess는 기존 메모리 분석 방법으로 분석하기 보단 다른 방법을 이용해 분석해야 합니다.
    Processes created through WSL have a special structure called PicoProcess, which is based on EPROCESS of existing Windows processes. Rather than analyzing with existing memory analysis methods, PicoProcess should be analyzed using a different method.

  1. WSL을 통해 파일을 생성하게 되면 WSL 가상 파일시스템과 로컬 파일시스템에 파일을 생성할 수 있고, 저장되는 곳에 따라 메타데이터 생성 절차와 결과가 다릅니다. WSL에서 로컬 NTFS 파일시스템에 접근해 파일을 생성할 경우, WSL에서 사용하고 있는 파일시스템의 메타데이터 시간 값을 NTFS $MFT에 저장하게 됩니다.
    When a file is created through WSL, it can be created on the WSL virtual file system and the local file system, and the metadata generation procedure and results differ depending on where it is stored. When WSL accesses the local NFS file system and creates a file, it stores the metadata time value of the file system that WSL is using in the NFS $MFT.

  1. 저장되는 시간 값은 $MFT 엔트리 속성 중 $EA 속성에 저장하며, 특이하게 WSL을 통해 생성된 파일은 $INDEX_ROOT 속성이 부여됩니다.
    The saved time value is stored in the $EA property among the $MFT entry properties, and files created via WSL are uniquely given the $INDEX_ROOT property.

  1. 이와 같은 특성을 이용하면 WSL에서 생성된 파일을 선별할 수 있습니다.
    These characteristics allow you to select files that are generated by WSL.

본 글에서는 WSL을 통해 생성되는 프로세스와 파일시스템 파일에 대한 분석 내용을 간단히 다루고 있습니다.
This article briefly covers the analysis of the process and file system files created through WSL.

You've successfully subscribed to PLAINBIT
Great! Next, complete checkout to get full access to all premium content.
Error! Could not sign up. invalid link.
Welcome back! You've successfully signed in.
Error! Could not sign in. Please try again.
Success! Your account is fully activated, you now have access to all content.
Error! Stripe checkout failed.
Success! Your billing info is updated.
Error! Billing info update failed.