실시간 대응- 휘발성 데이터

#휘발성 데이터 (Volatile Data)

휘발성 데이터란 전원의 공급이 끊기거나 시간이 흐름에 따라 자연히 저장 공간에서 사라지는 데이터로

말 그대로 휘발성을 가진 디지털 데이터를 의미하는 용어다.  

일반적으로 디지털 포렌식에서는 컴퓨터가 켜져 있을 때, 

보조기억장치에 해당하는 물리 메모리(RAM)에 로딩되어 있는 데이터를 가리켜 휘발성 데이터라 한다. 

전원이 끊어지면 손실되는 데이터 => 초기 분석 수행 => 시스템 명  령어 및 Tool 활용 ->

FDD , USB 장치 등에 수집

#종류

- 현재 시스템 날짜와 시간은?

- 현재 실행 되고 있는 프로세스 정보는 무엇인가?

- 현재 시스템에 누가 접속 하였는가?

- 현재 열려 있는 포트는 몇 번인가?

- 현재 실행 되고 있는 프로그램들은 무엇인가?

- (메모리에 남아 있는) 최근 접속 기록은?

#비 휘발성 데이터 (Non Volatile Data)

비 휘발성 데이터란 컴퓨터 시스템의 보조 기억 장치(HDD, SSD 등)에 저장되어 전원이 공급 되지 않아도, 유실되지 않는 데이터를 의미한다. 이름과 같이 휘발성 데이터와는 반대되는 개념으로, 안정적으로 시스템에 적재되어 있기 때문에 상대적으로 안정적인 수집이 가능하여 휘발성 데이터의 수집 이후에 수집하는 것이 일반적이다. 

전원이 끊어져도 데이터가 손실이 없는 데이터 => 상세 분석 수행

#저장 매체 압수

- 시스템 시각을 Check, 사진으로 남김

- 컴퓨터 시스템 데이터 변조 방지

#저장 매체 복제

- 디스크 복제기 이용

#이미지 생성

-Encase, 리눅스의 dd 및 nc 명령 이용

Registry, 시간 정보, Internet 관련 정보(cache, cookie, history),  E-Mail, 암호화된 파일, 윈도우 로그 등

#휘발성 순위

   

휘발성 데이터는 동작중인 시스템의 메모리에 존재하고 있다.

존재하는 휘발성 데이터들의 수명은 그 특성으로 인하여 다르다  따라서, 휘발성 증거 수집에 있어서 우선 순위를 고려해야 한다.  예) 

#현재 네트워크 연결 정보

netstat, LISTENING/ESTABLISHED/CLOSE_WAIT 고려

예) 클립보드

클립보드 Viewer, Ctrl+C, Ctrl+V 조작으로 이전 데이터가 삭제  될 수 있다.

#windows 휘발성 데이터

- 날짜와 시간

- Logged-on 사용자 정보  공유 폴더 정보  Remote에서 Open한 파일  네트워크 정보

- 네트워크 연결 정보  프로세스 정보

- 프로세스와 네트워크 연결 정보  프로세스 사용 파일 정보  클립보드 데이터

- Command history

- 기타.. (프로세스 메모리, 연결된 드라이브 등)