□ 시스템 정보 수집
1) 시스템 날짜 정보 확인
- date + 서식 (date YYYY-MM-DD)
2) 리눅스 종류 및 버전 확인
- uname -a
3) 마지막 접속/로그인 사용자, 시스템 재부팅 시간 확인
- last, w
- last reboot
4) Run-Level 서비스 확인
- chkconfig | grep service
5) rm 명령어로 삭제한 파일 복구(일부 가능)
- debugfs device
- debugfs: isdel
6) 사용자 정보
- /etc/passwd
- /etc/shadow
- /etc/group
□ 파일 및 백도어 검색
1) setgid, setuid 파일 검색
- find / -type f -perm +6000 -ls
2) 실행 권한이 있는 user 생성 파일 확인
- find / -type f -user 0 -perm -002 -ls
3) 변경된 파일 확인
- ls -time-style="서식" -alt | grep ^-
4) 최근 생성/변경/접근한 파일 검색
- find / -ctime -n -type f
- find / -mtime -n -type f
- find / -atime -n -type f
- find / -cmin -n -type f
- find / -mmin -n -type f
- find / -amin -n -type f
5) 실행 중인 프로세스 확인
- ps -efa, pstree -p, ps -ejH, top
6) 악성 파일 검색 도구
- rkhunter-check(tool), chkrootkit(tool)
- bswfinder.pl
□ 스케줄링 서비스 확인
1) 스케줄링 서비스 확인
- crobtab -l
□ 시스템 무결성 검사
1) rpm -Va, tripwire-check(tool)
□ 네트워크 정보
1) 네트워크 정보
- ifconfig, netstat -atob, arp -a, route
2) 프로세스와 프로세스가 사용하는 파일 정보
- lsof
□ 로그 분석
1) 로그인
- last, lastb, lastlog
2) 명령어
- history
* /etc/profile에 HISTIMEFORMAT 설정 후 적용 시(source) 시간 확인 가능. 아래 2가지 방법으로 적용.
1) vi /etc/profile
HISTTIMEFORMAT="[%Y-%m-%d_%H:%M:%S]" (맨 아래줄에 추가)
:wq
source /etc/profile
2) echo "HISTTIMEFORMAT=\"[%Y-%m-%d_%H:%M:%S] \"" >> /etc/profile
source /etc/profile
3) 시스템
- /var/log/messages, /var/log/dmesg
4) FTP
- /var/log/xferlog
5) Email
- /var/log/maillog
6) 원격 접속
- /var/log/secure
7) su 로그
- /var/log/sulog
8) 특정 경로에서 키워드가 들어간 파일 검색
- grep -r "키워드" 경로
9) 특정 날짜 사이 수정된 파일 검색
- touch -t 202112180200.26 start
touch -t 202112181920.00 end
find / -newer start -a ! -newer end
'정보보안 > Forensic' 카테고리의 다른 글
| [Forensic] 스테가노그래피 분석 도구 (0) | 2021.12.21 |
|---|---|
| [Forensic] Volatility3을 이용한 메모리 포렌식 (0) | 2021.12.18 |
| [Forensic] Windows 침해사고 조사 및 아티팩트 수집 (0) | 2021.12.18 |
| [Forensic] 삭제된 파일 복구 프로그램 리커바(Recuva) (0) | 2021.07.13 |
| [Forensic] 삭제된 파일 복구 프로그램 디스크 드릴(Disk Drill) (0) | 2021.07.11 |
