[포렌식] 포렌식 개론

디지털 증거 수집 및 분석 절차

준비 -> 증거물 획득 -> 이송 및 보관 -> 분석 및 조사 -> 보고서 작성

 

디지털 증거 수집 시 고려 대상

적법 절차의 준수

원본 증거의 안전한 보존 및 무결성 유지

증거 분석가와 도구의 신뢰성 확보

증거 수집 및 분석 과정의 문서화

보관의 연속성 유지(Chain of Custody)

 

 

휘발성 데이터

전원이 끊기면 손실되는 데이터 

휘발성 데이터 예시 : Routing Table, ARP Table, Process Table, Kernel Statistics, Memory

메로리 획득 툴 : FTK Imager, MDD, Volatility, Redline

수동 수집 명령어 

• set user : 로그인한 사용자의 도메인, 이름, 프로파일
• net user : 로컬 컴퓨터의 사용자 정보 수집
• ipconfig : IP 정보, MAC 주소
• netstat -ano : 프로토콜 연결 상태, 트래픽, 통계
• net start : 현재 윈도우 시스템에서 실행되고 있는 서비스 정보 수집. 서비스 목록 중 시작으로 설정된 것만 보여줌
• systeminfo : 시스템 부팅 시간, 종류, 프로세서, 메모리, 핫픽스, NIC
• net share : 네트워크 공유 자원(NETBIOS 취약점)
• doskey /history : 같은 명령창에서 입력한 명령어 리스트 출력 
• schtasks : 작업 스케쥴러 

Volatility : 프로세스 수집

명령어 예시) 

.\vol.exe -f file.img imageinfo

.\vol.exe -f file.img pstree 

.\vol.exe -f file.img pslist > pslist.txt

옵션

• imageinfo : 커널디버거를 사용하여 프로필 확인
• pstree : 프로세스 트리구조
• pslist : 프로세스 목록 
• psscan : 전체 프로세스(숨김 포함) 목록 
• hashdump : 사용자 계정 확인
• Psxview : psscan과 pslist 목록 비교(숨김 확인)
• dlllist : 해당 프로세스에 로드된 dll 목록 확인
• csrpslist : 프로세스의 세부 정보 추출하여 숨겨진 프로세스 확인

 

비휘발성 데이터

비휘발성 데이터 예시 : 호스트 파일, Prefetch파일, 자동 시작 리스트, 이벤트 로그, 사용자 계정, 파일 시스템, 레지스트리 

비휘발성 데이터 수집 예시 : Access FTK Imager

수집 파일 및 툴

• %systemroot%\system32\drivers\etc 폴더에 hosts, networks, lmhosts
• %systemroot%\Prefetch 폴더에 pf 확장자의 파일들
• Autoruns : 자동 시작 
• HFind : 숨겨진 파일이나 ADS(대체 데이터 스트림)의 위치 탐지 및 관련 목록 출력
• regdump : 레지스트리 덤프