Writer : KUSTI
해당 자료는 구글링을 기반으로 만들어 졌습니다.
INDEX
Data Redundancy
Data Backup
Analysis
- Data Redundancy
- 포렌식을 위해 이미지를 만들 때 사용한다.
- 서비스를 지속해아 하는 경우, 추후 법적대응을 할 경우, 사고조치를 위해 fragment를 찾으려 할경우, 중대한 손실이 발생되었을 경우 필수적이다.
- 대응전략 수집단계에서 자료 이중화 여부를 결정한다.
- 자료이중화는 비트단위로 복사하기 때문에 많은 시간이 걸린다.
- 실행중인 서버에서 조사가 가능하며 누가 언제 어디서 무엇을 어떻게 침해했는지 증거가되는 파일의 논리적 위치를 알 경우, 해당 파일만 백업한다.
- 자료 이중화는 다른 단계보다 실수할 확률이 높다. 추후 법적 물증으로 사용하려면 파일시스템을 아주 자세한 수준으로 덤프를 받고 결과의 레이블을 만든 후 서명, 일시등을 기록하고 안전한 곳에 보관하여야 한다.
- 포렌식을 위해 이미지를 만들 때 사용한다.
- Data Backup
- 피해 시스템의 저장장치 분리, 분석시스템에 붙여 이미지 생성
- 가장 많이 사용한다. dd, safeback, Encase 사용
- 피해 시스템의 하드 드라이브를 붙여자 이미지 생성
- 일반적으로 사용한다. dd명령어의 동작 여부를 확인해야 한다.
- 디스크이미지를 분석시스템에 네트워크로 전송하는 방법
- UNIX환경에서 주로 사용한다.
- Linux CD-ROM, Boot Disk 생성과 분석 시스템을 Ethernet Cross Over Cable 혹은 스위치로 연결하여 데이터를 전송한다. 잘 전달되었는지 MD5확인은 필수
- 피해 시스템의 저장장치 분리, 분석시스템에 붙여 이미지 생성
- Analysis
- Well-Known Attack
- password backdoor
- SUID
- Setting File, Network Backdoor
- Crontab
- Root Shell Binding Backdoor
- 변조된 파일 분석
- File Size / Time, syscall 추적, 무결성검사 (trip wire)
- MAC Time 분석
- M ) ls -latr --full-time
- A) ls -laur -full-time
- C) ls -lacr -full-time
- 악성프로그램 분석
- Reversing
- Log Analysis
- 숙련된 해커는 로그에 흔적을 남기지 않아 Log server를 따로 운영해야 한다.
- Log에 흔적이 남아있다면 변조된 로그일 확률이 크다.(신뢰하면 안된다.)
- 흔적 유형
- 로그파일 전체 삭제
- 공격흔적이 많을때
- 공격흔적이 적을때
- Well-Known Attack
'forensic > Forensic Science' 카테고리의 다른 글
| Digital Forensic 법률 관련 (0) | 2023.01.18 |
|---|---|
| Linux MAC time 확인, 접속 정보 확인 (0) | 2022.09.24 |
| 디지털증거 (0) | 2022.09.18 |
| Forensic - 지금까지 시도해본 steganography (0) | 2021.10.22 |
| Forensic - 1 디지털 포렌식 기술-4 (0) | 2021.09.12 |
