1. 라이브 포렌식
- 실제 작동 중인 컴퓨터에서 증거 추출한다.
- 기존에 단순히 플러그 뽑아서 전원을 차단하였지만, 많은 위험을 내포한다. 증거물의 훼손이나 변경이 생길 수 있어 법적 증거력이 상실된다.
- 그래서 라이브 포렌식 도구를 이용한다.
2. 라이브포렌식 대상
- 현재 실행 중인 프로세스
- 실행된 콘솔 명령어
- 암호화되지 않은 비밀번호나 데이터
- 메신저 내용
- IP 주소 등 네트워크 정보
- 침해 즉시 메모리에 상주하는 악성코드
- 메모리
- 열려있는 파일, 임시파일의 목록
3. 휘발성 정보 수집
1) 네트워크 연결 정보
방화벽 로그를 우선적으로 분석한다. 장기간에 걸친 연결 정보를 보관한다.
도구
- Netstat -nao: 현재 사용 중인 네트워크 정보
- Ipconfig: 로컬 IP 정보 및 MAC 정보
- Route PRINT: 라우팅 테이블 정보
2) 포트 정보
로컬 컴퓨터에 열러 있는 포트들과 접속한 외부 컴퓨터의 포트, 연결 개수를 확인할 수 있다.
1023번 이하의 포트들은 포트 번호와 그 기능이 사전에 정의되어 있기 때문에 그것만 보고 어떤 서버와 서비스를 주고받는지 파악할 수 있다. 이상의 포트는 의심해볼 수 있다. 또한 외부와의 연결이 30개 이상이면 비 정상적이다.
80: HTTP -> 하지만 반드시 HTTP 서비스만 이용할 수 있는 번호는 아니다.
- netstat
3). 프로세스 목록
정상적인 프로세스의 이름을 그대로 모방하는 경우가 많다.
예) svchost
윈도는 프로세스를 PID만 구별하고 이름으로는 구별하지 않는다.
|
System Idle |
실제 프로세스 X PID(0) 사용하지 않는 CPU 자원 비율 표시 |
|
csrss.exe |
사용자 모드 프로세스가 콘솔 창, 함수 호출 시 사용 여러 개 가능 부모 X 실행 폴더: System32 |
|
Wininit.exe |
커널 모드 프로세스로서 윈도우 초기화 단 한 개의 사본만 존재 부모 X 실행 폴더: System32 |
|
Services.exe |
윈도우 서비스를 관리 단 한 개의 사본만 존재 부모 : Wininit.exe 실행폴더: System32 |
|
Svchost.exe |
동시에 실행되는 다수의 프로세스를 가지며 DLL에 대한 컨테이너 제공 부모 : service.exe (cmd.exe 가 부모라면 의심) 실행폴더: System32 |
|
Lsass.exe |
로컬 보안 권한 서브시스템, 권한 통제하는 독립적인 프로세스 한 개의 인스턴스만 부모: wininit.exe 실행폴더: System32 |
|
Winlogon.exe |
대화식 로그인 프롬프트 부모 X 실행폴더: System32 |
|
Explorer.exe |
한 개의 윈도우 탐색기 생성 사용자와의 상호작용 처리 실행폴더: System32 => iexplore.exe의 부모 프로세스 |
|
Smss.exe |
세션 매니저 원격 데스크톱으로 로그인할 때 세션 생성 부모 : system 실행폴더: System32 |
도구: tasklist, procexp, procmon(부모 자식관계), pslist(부모 자식관계)
'Security > DigitalForensic' 카테고리의 다른 글
| [MemoryForensic] 메모리 분석 (283) | 2021.02.09 |
|---|---|
| [WindowsSystem] Registry에 대해서 (445) | 2021.01.19 |
| [DigitalForensic] FAT 파일 시스템 (with FTK Imager) (623) | 2021.01.18 |
| [DigitalForensic] 파일 시스템(FileSystem) (447) | 2021.01.18 |
| [MemoryForensic] Volatility-2.6 설치 (Windows10_v1809) (600) | 2020.10.21 |