| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 |
- ISMS-P
- 클라우드 자격증
- AWS
- metasploit
- 로드밸런서
- mysql
- 취약점
- RDS
- 인스턴스
- 네이버클라우드
- 클라우드자격증
- 정보보안
- 정보보호
- azure
- 와이어샤크
- isms
- 개인정보보호법
- AWS SAA
- 클라우드서비스
- Burp Suite
- AWS SSA
- ncp
- 로그분석
- 공개키
- 파일시그니처
- Iam
- 클라우드보안
- 보안컨설팅
- 클라우드
- EC2
- Today
- Total
처음 만나는 클라우드 보안
처음 만나는 디지털 포렌식 본문
디지털 포렌식(Digital Forensic)
컴퓨터와 같은 디지털 저장매체의 정보 중 법정 증거로 가치 있는 '디지털 증거'를 수집하는 업무를 말한다. 포럼(Forum)이라는 라틴어처럼, 공개적인 자리에서 누구나 인정할 수 있는 객관성 갖는 것이 주목적이다.
1. 디지털 증거 수집
모니터상 프로그램 사진자료 확보, Off-storage확보, 연관 프로세스 확인 등
1) 매체의 전원이 켜져 있는 경우
- DOS, Window 9x, Window XP, 2000, pro, Mac => 전원 플러그 강제 분리 (노트북 배터리 탈거)
- Windows server (2000, 2003, 2008), Linux, Unix 등 => 정상적 종료작업 수행 (Shutdown)
2) 매체의 전원이 꺼져 있는 경우
- 켜지 말 것, 외형 확인 및 사진 확보, 하드디스크 분리
3) 하드디스크 이미징 (HDD Imaging)
- 원본 보존 및 복제본 생성
- 이미징: 비트열 단위로 복제 => 지워진 파일 복구 가능
- 복사: 파일과 폴더 단위로 복제
4) 포렌식 분석서 (Forensic Report) 작성
- 판단 또는 옹호와 같은 주관적 의견 배제, 객관적인 내용만 서술
2. 포렌식 예시
1) 시스템 정보 확인
cmd> systeminfo
2) 현재 시간 및 날짜
cmd> echo %date% %time%
3) MAC Time
: 파일의 최근 수정시간, 액세스 시간 그리고 변경 시간
- Modify Time (수정한 날짜): 마지막 수정 시간
- Access Time (액세스 한 날짜): 버전에 따라 실시간 반영이 지연될 수 있다.
- Create Time (만든 날짜): 해당 컴퓨터 디렉터리에 위치된 날짜 (다운로드, 생성, 복사 등)
3. Sysinternals를 활용한 포렌식
윈도우 환경을 진단, 관리, 모니터링하는 기술자료로 사용되는 Sysinternals 사용법을 익힌다
1) 프로그램 설치
[공식 사이트] https://docs.microsoft.com/en-us/sysinternals/
Sysinternals - Windows Sysinternals
Library, learning resources, downloads, support, and community. Evaluate and find out how to install, deploy, and maintain Windows with Sysinternals utilities.
docs.microsoft.com
2) Sysinternals 실행
C: tcpview.exe
netstat -na와 유사한 기능을 가지며 실시간 연결 상태를 바로 확인 가능
C: DiskView.exe > Refresh
디스크의 용량을 파란색 (사용), 흰색 (공란)으로 표시
C: Autoruns.exe
윈도우 시작할 때 시행되는 프로그램
C: psinfo // 컴퓨터의 프로세스와 관련된 내용 열람
C: psinfo -s -h // h: 핫픽스, s: 소프트웨어
C: psinfo -d // 디스크 사용정보를 표시
C: pslist // 현재 구동 중인 프로세스 목록 상세 출력
C: pslist -t // 자료를 트리 형태(tree) 표시
C: listdlls // 각 프로세스별로 사용 중인 *dll확인 가능
=> 악성코드가 사용하는 dll 리스트 확인 가능
* dll(Dynamic Link Library)이란?
자주 쓰이는 기초적인 함수의 중복 개발을 피하기 위해 표준화된 함수 및 데이터 타입을 만들어 모아 둔 것을 말한다.
ex) notepad(메모장)이 사용하고 있는 dll 리스트 확인 > listdll notepad.exe
C: net share // 공유폴더 확인 혹시 모를 백도어 점검
C: net session // 접속한 사용자 확인 (액세스 거부)
doskey /history // 현재까지 작성된 명령어 나열
4. 시작 프로그램 확인
악성코드(백도어 등)는 공격자에 의해 사전에 등록되어 있으며 부팅시 실행된다.
설정 > 시작 앱
참고자료
포렌식 뜻을 알아봅시다!
디지털 포렌식 이란? 포렌식 뜻을 알고 갑시다! 뉴스 등의 언론매체에서 자주 등장하는 말 '포렌식' 또는 '디지털 포렌식' 수사가 무엇인지 아시나요? 요즘, 범죄 혐의를 갖고 있는 사람의 휴대폰
mild-nature.kr
https://goddaehee.tistory.com/185
DLL이란? (Dynamic Link Library)
DLL이란? (Dynamic Link Library) 안녕하세요. 갓대희 입니다. 이번 포스팅은 [ DLL "Dynamic Link Libaray" ] 입니다. : ) 라이브러리 (Library) (Dynamic Link Library을 알아보기 전 라이브러리가 무엇인..
goddaehee.tistory.com
IT위키
IT에 관한 모든 지식. 함께 만들어가는 깨끗한 위키
itwiki.kr
'디지털 포렌식' 카테고리의 다른 글
| 디지털 포렌식 툴(Tool): 파일분석 (0) | 2022.05.23 |
|---|---|
| 디지털 포렌식 기법: FTK Imager & Autopsy 실습 (0) | 2022.05.21 |
| 디지털 포렌식 기초: 파일시스템과 해쉬값 (0) | 2022.05.20 |
| 네트워크 포렌식: 와이어샤크를 활용한 문제 풀이 (0) | 2022.05.20 |
| 레지스트리 포렌식 & 프리패치 포렌식 (0) | 2022.05.20 |
