실시간 대응의 중요성

전자 상거래는 시스템상에서 실시간으로 처리되며 시스템이 다운되면 분당 수백에서 수천달러의 손실이발생할수있다.

​

즉 압수수색한다고 서버를 들고가면 회사가 망해버리다.

​

또한 시스템 동작 상태에서 증거 수집이 필요할 때가 있다.

-범죄에 이용되는 프로그램이 메모리에만 존재할수도있다.(악성코드가 하드디스크에 저장되지않고 메모리에서 동작하다가 지워지는 경우가있다)

- 임시 저장 파일의 경우 다운되면 사라질수있다.

​

실시간대응 - 사건관련 정보수집

​

해킹 침해 관련 - Process , Thread , DLL ,Memory Notwork 접속 정보 등등

​

지적 재산 침해 관련 - 숨긴 파일 ,삭제된 파일 ,확장자 변경, 파일사용 흔적검색 , 설치 프로그램 정보 등

​

인터넷 사용 관련 - 인터넷접속 기록 , 인터넷사용 ID ,이메일 ,패스워드 등의 개인정보

​

윈도우 휘발성 데이터

​

날짜와 시간

Logged-on 사용자 정보

공유 폴더 정보

Remote에서 Opne한 파일

네트워크정보

네트워크 연결 정보

프로세스 정보

프로세스와 네트워크 연결 정보

프로세스 사용 파일 정보

클립보드 데이터

Command history 등등...

​

​

실시간 증거 수집 및 분석 방법

Local Response Method = 시스템에 직접 연결해서 수집한다.

Remote Response Method = 대상 시스템들 에 관리 프로그램을설치해서 remote로 접속해서 수집한다.

Hybrid Response Method = 대상 시스템들의 정보를 Network 를 통해 증거수집자료 서버에 모아둔다.

​