관리 메뉴

Lucete

휘발성 데이터 수집 2탄이옵시다. 본문

For3nsic/Forensic

휘발성 데이터 수집 2탄이옵시다.

LuCeT3 2018.12.10 01:07


2탄이옵시다.!!! 1탄을 쓰고 2탄을 바로 포스팅을 할려고 했는데 ... 출장과 일이 좀많아서 이제 씁니다... 


바로 본론으로 들어가 봅시다.! 


1탄에서 네트워크 정보수집까지 적은 것으로 기억을 하는데 맞습니까?

(혼자 북치고 장구치기) 네~~~~~~~~~~~~


다음을 계속 이어 적어 봅시다.!!!

프로세스 목록을 수집해볼것이다.

보는 것과 같이 mac에서는 'ps -ef' 라는 명령어를 주게 되면 프로세스 목록을 수집할 수 있게 된다. 

옵션의 ef에서 'f'는 full format listing의 약자이며 'e'는 every의 약자로 현재 실행중인 모든 프로세스를 

출력하라는 의미이다.

windows에서는 tasklist를 하게 되면 보는 것처럼 pid와 세션이름 등을 나타내준다.

옵션을 알고 싶다면 tasklist /?를 입력하면 옵션들을 알려주어 그에 맞게 사용하면 된다.

다음으로 수집하여야 하는 것중 하나인 환경변수를 수집하는 법을 알아볼 것이다.

환경 변수가 무엇인지 부터 알아 보자.

환경 변수란 무엇인가...? 환경변수는 시스템 변수와 사용자 변수로 나눌수 있다.

여기서 시스템 변수는 시스템 전체에 해당되는 변수이다. 즉 모든 환경에 적용이되며, 

관리자만 수정이 가능하다.

그럼 반대로 사용자 변수는 시스템 변수와 반대로 사용자 개인의 환경변수를 말하는 것이다. 

그럼 이러한 환경변수는 프로세스가 컴퓨터에서 동작하는 방식에 영향을 미치는, 

동적인 값들 이라고 보면 되겠다.

수집 하는 방법을 알아보자.

보는 것처럼 mac에서는 'echo $path' 이렇게 쳐도 나오는 것을 알수 있다. 좀더 많은 것을 

보고 싶다면 밑에 이미지를 확인해보자

export라는 명령어를 사용하게 되면 더 많은 값들이 나오는 것을 알수 있다.

windows에서는 set이라는 명령어를 주게 되면 환경변수들을 확인할 수 있게 된다.!!

다음은 히스토리를 수집할 것이다.

히스토리는 사용자가 어떠한 명령들을 실행 했는지 알수 있다. 이러한 정보로 많은 것을 알 수 있다.

mac에서는 history라는 명령을 쓰게 되면 사용자가 무슨 명령어를 입력 했는지를 알수 있다.

근데 마냥 history에 저장이 되면 좋을텐데...

여기에 보이는 .zsh_history 에 history 내역을 담고 있다. 더군다나 .<-이를 보아 숨김파일임을 알수 있으며

사용자가 '/etc/profile' 을 수정하면 history 를 남기지 않을 수도 있다. 

windows에서는 doskey/history를 입력하게 되면 명령 프롬프트 창이 열려 있을때 사용했던 명령들을 확인 할 수있다. 하지만 만약 명령 프롬프트 창을 닫으면 doskey/history를 해도 안나온다는 것을 명심하자.


후후후후후후후

다음은 공유폴더 님이 시다.!!!!!

공유폴더 최근에 화끈하게 한건 하신 분 입니다.

공유폴더는 말그대로 폴더를 공유하는것이다. 그럼 어떻게 수집할까?


net use와 net share 이라는 명령어를 확인 할수 있다.

이 둘의 차이점이 무엇일까? 정답이다.!(케케케케케케케)

net use같은 경우엔 원격 컴퓨터의 공유 폴더이다. 그럼 net share 명령어는?

정답이다. 로컬 컴퓨터의 공유폴더 목록이다.

요즘 같은 경우 내부에서 공유폴더를 많이 사용하기 때문에 분석을 하거나 한다면 분석 범위를 다시 한번 생각해봐야 되지 않을까?



더 많은 내용을 적고 싶었지만 sysinternals의 도구의 힘들이 필요한 관계로 3탄에서 적어 볼까합니다.

더불어 netbios관련도 같이 적을려 합니다. 시간이 될때마다 포스팅 할테니 기다료 주세욤>.<

  뉴질랜드 꼭가보세요!! (뜬금포지만)


0 Comments
댓글쓰기 폼