본문 바로가기
반응형

forensic5

[Forensic] Linux 침해사고 조사 및 아티팩트 수집 □ 시스템 정보 수집 1) 시스템 날짜 정보 확인 - date + 서식 (date YYYY-MM-DD) 2) 리눅스 종류 및 버전 확인 - uname -a 3) 마지막 접속/로그인 사용자, 시스템 재부팅 시간 확인 - last, w - last reboot 4) Run-Level 서비스 확인 - chkconfig | grep service 5) rm 명령어로 삭제한 파일 복구(일부 가능) - debugfs device - debugfs: isdel 6) 사용자 정보 - /etc/passwd - /etc/shadow - /etc/group □ 파일 및 백도어 검색 1) setgid, setuid 파일 검색 - find / -type f -perm +6000 -ls 2) 실행 권한이 있는 user 생성 파일.. 2021. 12. 18.
[Forensic] Windows 침해사고 조사 및 아티팩트 수집 □ 시스템 정보 1) 현재 날짜 및 시간 정보 확인 - data /t && time /t 2) 시스템 정보 확인 - systeminfo 3) 시스템에 접속 중인 사용자 및 세션 정보 - query user - net session 4) 시스템에 등록된 사용자 계정 - net user - 레지스트리 내 SID / SAM 확인 5) 시스템에 마지막으로 로그인한 사용자 정보 - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\DefaultUserName - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00X\Control\Windows\ShutdownTime □ 파일 및 레지스트리 정보 1) 최근 생성된 파일,.. 2021. 12. 18.
[Forensic] 윈도우 파일 복구 개요 및 과정 1. 슬랙 공간에 대한 이해 슬랙 공간은 파일에 할당된 디스크 공간이지만, 실제로 사용하지는 않는다. 디스크는 섹터의 외부에 만들어지는 클러스터의 정보를 저장한다. 만든 파티션 크기와 선택한 파일 시스템에 다른 클러스터 내의 운영체제 포맷 디스크는 1부터 64의 섹터를 가진다. 개별 클러스터는 오직 하나의 파일에 할당할 수 있다. SECTOR 154926645 storing twinkle.txt Twinkle, twinkle, little star. How I wonder what you are. Up Above the world so high, like a diamond in the sky. Twinkle, twinkle, little star. How I wonder what you are. 0000.. 2021. 5. 24.
[Forensic] Windows 파일 시스템(NTFS) 개요 마이크로소프트 파일 시스템 하드 디스크는 섹터로 분리된다. 그러나 대부분의 파일 시스템은 파티션이 520MB보다 클 경우 단일 섹터를 읽을 수 없다. 클러스터 내에는 4개부터 64개의 섹터가 만들어진다. 클러스터는 하나 이상의 파일에서 데이터를 가져올 수 없다. 포맷한 파티션의 크기와 사용하는 파일 시스템에 따라 클러스터는 잠재적으로 32KB만큼 클 수 있다. 파일이 800바이트 뿐이라면 클러스터 전체를 차지하고, 남아있는 31KB 이상은 디스크 슬랙이 된다. 파일 시스템 최소/최대 파티션 크기 최소/최대 클러스터 크기 FAT16 2021. 5. 20.
[Forensic] 디지털 포렌식 정보 수집 순서와 수집 도구 디지털 포렌식 수사의 주요 원칙 중 하나는 원본 데이터로 작업하지 않는다는 점이다. - 원본과 사본의 해시 코드를 비교해서 변경이 되지 않았다는 것을 보장할 수 있다. - 실수를 하더라도 새로운 사본을 사용해서 쉽게 다시 시작할 수 있다. - 데이터의 한 가지 타입에만 유효한 작업 방식을 사용할 경우 다른 타입에 맞지 않을 수 있는데, 그때마다 새로운 사본을 사용해서 다시 작업할 수 있다. 새로운 사본의 무결성을 보장하기 위해 해시값을 사용한다. - 사본이 손실/절도/변질되더라도 수사는 계속 진행할 수 있다. - 법정에서는 증명이 불가능하지 않는 한 수사관들이 위와 같이 작업하는 것을 권고한다. ​ 1. 휘발성의 순서 '증거 수집 및 보관에 대한 가이드라인(Guidelines for Evidence Co.. 2021. 5. 18.
반응형

티스토리툴바