일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
- 자바
- Forensic #CTF #디지털포렌식 #disk forensic
- 디지털포렌식챌린지 #dfchallenge #디지털포렌식 #Forensic
- EnCase #mount #Forensic #image mount
- forensic
- 디지털포렌식 연구회 워크샵 #디지털포렌식 #디지털포렌식챌린지 #Forensic #ctf #정보보호학회
- 파이썬
- java
- 코딩
- #정보보안 #어셈블리 #저급언어 #기계어 #it #정보보안
- 정보보안기사 #정보보안산업기사 #2020년 정보보안기사 #시험일정
- 안드로이드 #서비스 #안드로이스 서비스 #Android #java
- PYTHON
- 디지털 포렌식
- 객체
- 탈중화
- 프로그래밍
- evm
- snedmail #linux #정보보안기사 #정보보안산업기사 #mail protocol
- 비박스 #웹취약점분석 #버그바운티 #bee-box #웹 #모의해킹
- Injection #Reflected #웹취약점
- 안드로이드 #스레드 #핸들러 #예제
- HTML Injection #bWAPP
- CIDR #서브넷 #Network #ip 주소고갈
- Forensic CTF #disk Forensic #windows file analyzer #WFA #Codegate 2012 F100
- 정보보안기사 #정보보안산업기사 #클라우드컴퓨팅 #보안 #컴퓨팅보안
- 포렌식
- 메소드
- It
- 파일 접근 권한 #linux #chown #chmond #umask #명령어
- Today
- Total
Jsecurity
포렌식 실시간 대응 본문
포렌식 - 실시간 대응의 필요성
$1. 전자 상거래는 시스템상에서 실시간으로 처리되며 시스템이 Down되어 있는 경우 분당 수백에서 수천 달러의 손실이 발생
=> 하드디스크 이미지 획득을 위하여 시스템을 Down 시키는 것은 심각 한 문제를 발생시킬 수 있음
$2. 하드디스크 이미징에 있어서 많은 시간이 걸린다.
$3. 또한, 시스템 동작 상태에서 증거 수집이 필요할 때가 있다.
범죄에 이용되는 프로그램이 메모리에만 존재할 수 있다.
임시 저장 파일의 경우 Down시 사라질 수도 있다.
# 클라우드 환경으로의 변화
- 관련 증거를 수집하기 위해서 클라우드 시스템 전체를 이미징 할 수 없다.
- 법적 관할 쟁점, 증거 저장 위치 문제
# 기본 정보의 수집
- 시스템 기본 정보 (OS, Version, SP, Patch, Uptime, Accounts, System Resource, Installed Packages, …)
- 시스템 특성 파악에 필요
# 시간 정보의 수집 (When)
- 현재 시간과 시스템 시간과의 차이 (시간의 동기화)
- 파일: MAC Time
- 프로세스: 시작(실행) 시간, Uptime
- 휘발성 증거 자료의 수집 당시 시간 (해당 시간 동작 증거)
# 사용자 정보의 수집 (Who, Where)
- 시스템 등록 계정 목록, 현재 사용자 계정
- Remote User Accounts
- Remote IP Address (최대한 많은 연계 정보 수집 필요:Process, Remote Site Infomation)
- 실제 사용자 식별 필요
# 사건 관련 정보 수집 (해킹 침해 관련)
- Process 및 관련 목록 (Process, Thread, Dll, Drv, Open Handle etc…)
- Process Activities
- Memory
- 시스템 파일 변경 여부 검사(Hash)
- Network 접속 정보 (IP, Port, IP 사용 Process, Remote User Connections, etc…)
- Remote Server Information (whois, Server Connection Messages)
- Network Sniffing
# 사건 관련 정보 수집 (지적 재산 침해 관련)
- 숨긴 파일, 삭제된 파일, 확장자 변경 파일 검색
- 파일 사용 흔적 검색 (Registry 등의 로그 기록, 메신저 채팅 기록, 메일 등)
- 설치 프로그램 정보 (License와 대조 필요)
- USB, Removable Disk, E-Mail, P2P, 메신저, Ftp, Web Disk, Social Web,
- Mobile Phone 등 유출 경로에 대한 사용 흔적 수집
# 사건 관련 정보 수집 (인터넷 사용 관련)
- Temporary Internet Files 등의 Internet 접속 기록
- 인터넷 사용 ID, Email, Password 등의 개인 정보 등
# 증거의 분류
$1. 보관 증거
사람이 직접 작성한 데이터를 의미하며 작성자의 사상, 감정이 표현되어 있는 경우가 많다.
$2. 생성 증거
미리 정해진 알고리즘에 의해 작성자가 개입하지 않더라도 여러 가지 디지털 데이터 생성 과정에서 자동으로 생성된 증거를 의미한다.
'포렌식 > 디지털 포렌식' 카테고리의 다른 글
폰 노이반과 하바드 아키텍쳐 비교 (0) | 2019.04.07 |
---|---|
명령어 구조에 따른 프로세서 (0) | 2019.04.07 |
실시간 대응- 휘발성 데이터 (0) | 2019.03.21 |
사이버포렌식 실무 : 형사소송법상 전문법칙의 예외 (0) | 2018.11.21 |
사이버포렌식 실무 : 증거의 의의와 종류 및 증거능력과 증명력 (0) | 2018.11.14 |