실시간 대응 키워드

기본정보의 수집

-시스템 기본 정보 (OS, Version, SP, Patch, Uptime, Accounts, System Resource, Installed Packages 등...)

- 시스템 특성 파악에 필요

​

​

사건 관련 정보 수집 (해킹 침해 관련)

- Process 및 관련 목록 (Process, Thread, Dll, Drv, Open Handle etc…)

- Process Activities n Memory n 시스템 파일 변경 여부 검사(Hash)

- Network 접속 정보 (IP, Port, IP 사용 Process, Remote User Connections, etc…)

- Remote Server Information (whois, Server Connection Messages) n Network Sniffing

​

사건 관련 정보 수집 (지적 재산 침해 관련)

- 숨긴 파일, 삭제된 파일, 확장자 변경 파일 검색

- 파일 사용 흔적 검색 (Registry 등의 로그 기록, 메신저 채팅 기록, 메일 등)

- 설치 프로그램 정보 (License와 대조 필요)

- USB, Removable Disk, E-Mail, P2P, 메신저, Ftp, Web Disk, Social Web, Mobile Phone 등 유출 경로에 대한 사용 흔적 수집

​

사건 관련 정보 수집 (인터넷 사용 관련)

- Temporary Internet Files 등의 Internet 접속 기록

- 인터넷 사용 ID, Email, Password 등의 개인 정보 등

​

로카르: 프랑스 법의학자

로카르 법칙: 접촉하는 두 개체는 서로의 흔적을 주고 받는다

​

휘발성 데이터

전원이 끊어지면 손실되는 데이터 => 초기 분석 수행 => 시스템 명 령어 및 Tool 활용

- FDD , USB 장치 등에 수집

종류

- 현재 시스템 날짜와 시간은?

- 현재 실행 되고 있는 프로세스 정보는 무엇인가?

- 현재 시스템에 누가 접속 하였는가?

- 현재 열려 있는 포트는 몇 번인가?

- 현재 실행 되고 있는 프로그램들은 무엇인가?

- (메모리에 남아 있는) 최근 접속 기록은?

​

​

비휘발성 데이터

전원이 끊어져도 데이터가 손실이 없는 데이터 => 상세 분석 수행

​

저장 매체 압수

-시스템 시각을 Check, 사진으로 남김

-컴퓨터 시스템 데이터 변조 방지

저장 매체 복제

- 디스크 복제기 이용

이미지 생성

-Encase, 리눅스의 dd 및 nc 명령 이용

Registry, 시간 정보, Internet 관련 정보(cache, cookie, history), E-Mail, 암호화된 파일, 윈도우 로그 등​

​

휘발성 순위(Order of Volatillity)

휘발성 데이터는 동작중인 시스템의 메모리에 존재하고 있다.

존재하는 휘발성 데이터들의 수명은 그 특성으로 인하여 다르다

따라서, 휘발성 증거 수집에 있어서 우선 순위를 고려해야 한다.

​

예)

현재 네트워크 연결 정보

-netstat, LISTENING/ESTABLISHED/CLOSE_WAIT 고려

클립보드

-클립보드 Viewer, Ctrl+C, Ctrl+V 조작으로 이전 데이터가 삭제 될 수 있다.

​

​

일반적 환경에서의 휘발성 순위(Order of Volatillity)

- Registers, cache

- Routing table, arp cache, process table, kernel statistics, memory

- Temporary file systems

- Disk

- 해당 시스템의 Remote logging and moitoring data (방화벽 데이터 등)

- Physical configuration, network topology

- Archival media

​

실시간 증거 수집 및 분석 - 수집 방법

1. Local Response Method

대상 시스템이 직접 연결하여 USB또는 HDD로 저장시킨다.

​

​

​

2. Remote Response Method

관리 프로그램을 설치하여 Remote로 접속하여 수집을한다.

​

​

​

3. Hybrid Response Method

서비스 모델로 별도의 프로그램 또는 직접 연결하는 방식으로 증거자료를 서버에 저장시키는방식이다.

예로 인터넷방송을 하는 사람입장에서 자신을 모욕하는 장면같은것을 나중에 증거로 사용하기위해 이 서비스를 이용하여

수집서버에 저장시킬수있는것이다.

​

​

실시간 증거 수집 및 분석

날짜, 시간 관련

- 현재 컴퓨터에 사용자가 임의로 설정한 시간

- 부팅시 CMOS를 통해 확인 가능

​

시스템 관련

시스템 기본 정보의 수집

- OS Name, OS Version, Service Pack Version

- Update Information (Hotfix)

- Owner, Volume Information

- Uptime, Installed Time

( OS Name , OS Version 같은 정보들을 왜수집하는것일까 바로 XP와 윈도우 7 ,10 은 정보들이 매우다르다)

​

시스템 기본 정보의 수집의 의미

- OS 버전에 따라 분석에 필요한 설정 정보, 사용 파일, 사용 폴더 등이 상이할 수 있어 이를 파악하여 분석 시 활용할 수 있다.

- 해킹 등의 침해가 발생한 시스템을 분석하는데 있어 Hotfix는 취 약성 범위를 한정해준다.

- OS에 따라 상세 메모리 구조(예, 프로세스 구성 요소 및 그 값)가 상이하므로 메모리 분석하는데 OS 및 SP 버전은 중요하다

​

프로세스 관련

Listdlls 라는 툴을 이용해서 얻을수있는 정보

- 현재 프로세스가 사용중인 DLL 목록

- 의심이 가는 프로세스가 사용하는 DLL List를 확인

- ex) listdlls [Process ID]

​

​

handle 이라는 툴을 이용해서 얻을수있는 정보

- 현재 프로세스가 사용중인 모든 객체 참조(handle) 목록

- 의심이 가는 프로세스가 사용하는 파일 확인 가능

- 주 관심 대상: 로그 파일, 화면 캡쳐 파일, 레지스트리 키 등

- ex) handle [-p ]

​

클립 보드 관련

Clipbrd: [시작]->[실행]에서 실행 (WinXP 이하)

- 현재 윈도우 시스템의 클립보드 내용 표시

- 주의: 복사/잘라내기 Operation이나 Ctrl+C, Ctrl+X 키보드 조작 금지

​

​

Hash 관련

md5sum = 128bit

Sha1sum = 160 bit