관리 메뉴

Lucete

휘발성 데이터 수집 하기 본문

For3nsic/Forensic

휘발성 데이터 수집 하기

LuCeT3 2018.12.03 00:18

어제 쓴글을 확인해보면 

http://blog.z3alous.xyz/226 <- 링크


"그럼 휘발성 데이터에는 어떤것들이 포함이 되어있는 것일까?"

 - 시간, 날짜 정보

 - 네트워크 정보

 - 사용자 정보

 - 프로세스 정보 

 - 핸들 목록

 - 서비스정보 

 - 클립보드

 - dll 정보

 - 열려있는 파일 정보

 - 기타  등

라는 내용이 있는 것이 확인 가능하다.

그럼 어떻게 확인을 해야할까?

그냥 무작정 수집하면 되는 것일까?

물론 아니다... 


수집을 하면서 알아둬야 하는 것이 몇가지가 있다. 

 - 일단 시스템에 영향이 최대한 안가게 작업을 해야한다. => 인가된 도구를 사용하고 특화된 도구만을 사용하도록 한다.

 - 로카르의 교환법칙 => '접촉이 있는 두 물체 사이에는 반듯이 교환이 일어난다' => 물체와의 접촉이 생기고 한다면 증거가 될수 있다라는 의미로 범죄자에게만 적용되는 것이아니라 수사관에도 적용된다.


첫번째 내용이 시스템에 영향이 최대한 안가게 작업한다.

두번째는 로카르의 교환법칙

쉽게말해 무작정 하지말고 조심스럽게 생각해서 수집하라는 말이다. 케케케케케케케케

생각해서라 ... 그럼 다시한번 이사진이 필요하다고 생각한다.

  <- 나에게 생각할 시간을 주는 사진


그럼 저기 나온 데이터들을 하나씩 수집해보자

시간 & 날짜

시간을 알아보기 위해선 windows 같은 경우엔 'time  /t'와 'date /t' 명령어를 사용할 수있다.

mac os 에서는 'data'라는 명령어를 이용하면 한번에 알수 있다. 

그럼 windows 환경에서는 명령프롬프트(cmd)에서 명령어대신 좀더 편리한 작업표시줄에 있는 트레이창에서 시간을 확인하면 안되는 것일까?정답은 확인 가능하다. 하지만 레지스트리에 기록을 남기기 때문에 추천하지 않는다.


01

02

03

04

네트워크 연결 정보를 알수 있는 방법은 여러가지가 있다.

내가 활당되어 있는 정보를 알기위해서 'ipconfig /all ' mac(리눅스 포함) 같은 경우 ifconfig 를 이용하여 인터페이스와 내가 활당도어 있는 정보를 알수 있으며

netstat -ano(ant) 명령어를 통해 열려있는 포트정보를 알수있다. 

꿀팁은 옵션 b를 쓰면 

이렇게 프로세스 명까지 출력 해준다. 꿀팁 ㅇㅈ? ㅇㅇㅈ~



언제다쓸지... 쓰다보니 이제 2개적었다...후후후후후후ㅜㅎ



라우팅 테이블 정보

네트워크 정보를 수집하다보면 ip 활당 정보, 인터페이스 정보들 뿐아니라 라우팅 테이블 정보 또한 알아야한다.

그럼 라우팅 테이블은 무엇인지 부터 알아보자

[그림 출처 : http://enter.tistory.com/165 ]

라우팅 테이블은 네트워크가 목적지까지 잘도착 할수 있도록 네트워크 노선의 흐름을 제어하는 테이블을 말한다.

쉽게 말해 네트워크가 목적지까지 잘 도착하도록 길을 닦아주는 친구라고 보면된다. 

라우팅 테이블을 보는 명령어는 mac, windows 둘다 netstat -r 명령어를 주면 잘나타나 준다.!!!!(route print라는 명령어도 있음)

그럼 라우팅 테이블을 보는 이유는?

정상적인 네트워크 흐름이라면 상관이없겠지만 게이트웨이가 내부 pc로 설정되어 있다면 문제가 있다.







오늘 다 포스팅 하려고 했는데 생각보다 많아서 다음 시간에 쭉 작성하겠습니다...

저를 용서하여 주시 옵소서...




0 Comments
댓글쓰기 폼