1. 윈도우즈 포렌식
LIVE RESPONSE (실시간 대응)
1.1 실시간 대응의 중요성
- 실시간 시스템을 내리면 큰 금전적 손실이 발생
- 전원을 내리고 이미징하더라도 많은 시간이 소요
- 메모리에 상주된 데이터를 전원을 내리면 찾지 못한다.
(범죄에 이용되는 프로그램은 메모리에만 존재할 수 있다. 임시파일의 경우도 사라질 수 있다.)
- 클라우드 환경의 시스템 전체 이미징 불가(크기, 법적권한)
1.2 수집자료
- 기본정보
OS Version, Update, Accounts, SP()
기본정보를 수집하는 이유는 시스템 특징을 파악하면 수집할 범위와 시간이 줄어든다.
- 시간
컴퓨터의 시간과 현재 시간의 차이, 동기화하여야함
- 파일
MAC TIME
(Modify, Access, Create) - 여기서 Access는 하드에서 메모리로 올라온 시간을 의미한다.
- 프로세스
시작시간, Uptime(시작시간부터 현재까지의 시간)
Live Data 수집당시시간을 기록한다. 수집당시 프로세스가 수집되었다면 해당시간에 실행되고 있음을 의미한다.
-WHO, WHERE
계정 목록, 원격 IP, 계정에 대한 실제 사용자 식별
-WHAT
1. 해킹관련
Process, Network, Network Sniffing
2. 지적재산 침해관련
숨김파일, 삭제 파일, 유출(메신저, 채팅기록, 메일), 불법 라이센스 설치 프로그램
3. 인터넷사용관련
접속기록, 인터넷 기록
1.3 휘발성 비 휘발성 데이터
휘발성 - 전원이 끊어지면 손실되는 데이터, 현재 상태와 관련있다.
비 휘발성 - 전원이 끊어져도 손실되지 않는 데이터, 시간 인터넷 관련정보(캐시, 쿠키, history), Email, 암호화파일, 윈도우로그
- 휘발성 순위(Order of Volatile)
네트워크 연결정보, 클립보드를 먼저 수집해야한다. (사라질 수 있기 때문)
- 일반적 환경에서의 휘발성 순위(휘발, 비휘발 모두 포함)
CPU에 근접할수록 우선순위가 높다.
1. CPU 영역(Logic, Register, Cache)
2. Memory 영역
3. Temparary file systsem(HDD에도 존재하고 Memory에 존재할 수도있다. 리눅스의 /proc 같은 것)
4. HDD
5. 시스템 감시, 로그데이터
6. 네트워크 구성도
1.4 실시간 수집 및 분석
- Local Response Method
시스템에 직접 USB를 연결하여 USB에 수집
- Remote Response Method
대상 시스템에 Agent를 설치 후 명령을 통해 자료를 한번에 수집
- Hybrid Response Method
포렌식툴이 담긴 USB 를 대상시스템에 연결하여 툴을 실행하면 분석자료를 서버로 보냄
'수 > 사이버 포렌식' 카테고리의 다른 글
4. 사이버포렌식 (0) | 2017.11.21 |
---|---|
2. 사이버포렌식 (0) | 2017.11.01 |
1. 사이버 포렌식 (0) | 2017.10.28 |
6. 사이버 포렌식 (0) | 2017.10.04 |
5. 사이버포렌식 (0) | 2017.09.25 |