1. 라이브 포렌식 - 실제 작동 중인 컴퓨터에서 증거 추출한다. - 기존에 단순히 플러그 뽑아서 전원을 차단하였지만, 많은 위험을 내포한다. 증거물의 훼손이나 변경이 생길 수 있어 법적 증거력이 상실된다. - 그래서 라이브 포렌식 도구를 이용한다. 2. 라이브포렌식 대상 - 현재 실행 중인 프로세스 - 실행된 콘솔 명령어 - 암호화되지 않은 비밀번호나 데이터 - 메신저 내용 - IP 주소 등 네트워크 정보 - 침해 즉시 메모리에 상주하는 악성코드 - 메모리 - 열려있는 파일, 임시파일의 목록 3. 휘발성 정보 수집 1) 네트워크 연결 정보 방화벽 로그를 우선적으로 분석한다. 장기간에 걸친 연결 정보를 보관한다. 도구 - Netstat -nao: 현재 사용 중인 네트워크 정보 - Ipconfig: 로컬 ..
