3. 사이버포렌식

1. 윈도우즈 포렌식

LIVE RESPONSE (실시간 대응)

1.1 실시간 대응의 중요성

- 실시간 시스템을 내리면 큰 금전적 손실이 발생

- 전원을 내리고 이미징하더라도 많은 시간이 소요

- 메모리에 상주된 데이터를 전원을 내리면 찾지 못한다.

(범죄에 이용되는 프로그램은 메모리에만 존재할 수 있다. 임시파일의 경우도 사라질 수 있다.)

- 클라우드 환경의 시스템 전체 이미징 불가(크기, 법적권한)

1.2 수집자료

- 기본정보

OS Version, Update, Accounts, SP()

기본정보를 수집하는 이유는 시스템 특징을 파악하면 수집할 범위와 시간이 줄어든다.

- 시간

컴퓨터의 시간과 현재 시간의 차이, 동기화하여야함

- 파일

MAC TIME

(Modify, Access, Create) - 여기서 Access는 하드에서 메모리로 올라온 시간을 의미한다.

- 프로세스

시작시간, Uptime(시작시간부터 현재까지의 시간)

Live Data 수집당시시간을 기록한다. 수집당시 프로세스가 수집되었다면 해당시간에 실행되고 있음을 의미한다.

-WHO, WHERE

계정 목록, 원격 IP, 계정에 대한 실제 사용자 식별

-WHAT

1. 해킹관련

Process, Network, Network Sniffing

2. 지적재산 침해관련

숨김파일, 삭제 파일, 유출(메신저, 채팅기록, 메일), 불법 라이센스 설치 프로그램

3. 인터넷사용관련

접속기록, 인터넷 기록

1.3 휘발성 비 휘발성 데이터

휘발성 - 전원이 끊어지면 손실되는 데이터, 현재 상태와 관련있다.

비 휘발성 - 전원이 끊어져도 손실되지 않는 데이터, 시간 인터넷 관련정보(캐시, 쿠키, history), Email, 암호화파일, 윈도우로그

- 휘발성 순위(Order of Volatile) 

네트워크 연결정보, 클립보드를 먼저 수집해야한다. (사라질 수 있기 때문)

- 일반적 환경에서의 휘발성 순위(휘발, 비휘발 모두 포함)

CPU에 근접할수록 우선순위가 높다.

1. CPU 영역(Logic, Register, Cache)

2. Memory 영역

3. Temparary file systsem(HDD에도 존재하고 Memory에 존재할 수도있다. 리눅스의 /proc 같은 것)

4. HDD

5. 시스템 감시, 로그데이터

6. 네트워크 구성도

1.4 실시간 수집 및 분석

- Local Response Method

시스템에 직접  USB를 연결하여 USB에 수집

- Remote Response Method

대상 시스템에 Agent를 설치 후 명령을 통해 자료를 한번에 수집

- Hybrid Response Method

포렌식툴이 담긴 USB 를 대상시스템에 연결하여 툴을 실행하면 분석자료를 서버로 보냄