일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
- forensic
- 코딩
- Forensic CTF #disk Forensic #windows file analyzer #WFA #Codegate 2012 F100
- 정보보안기사 #정보보안산업기사 #2020년 정보보안기사 #시험일정
- EnCase #mount #Forensic #image mount
- 정보보안기사 #정보보안산업기사 #클라우드컴퓨팅 #보안 #컴퓨팅보안
- 디지털포렌식 연구회 워크샵 #디지털포렌식 #디지털포렌식챌린지 #Forensic #ctf #정보보호학회
- 비박스 #웹취약점분석 #버그바운티 #bee-box #웹 #모의해킹
- 디지털포렌식챌린지 #dfchallenge #디지털포렌식 #Forensic
- snedmail #linux #정보보안기사 #정보보안산업기사 #mail protocol
- java
- Injection #Reflected #웹취약점
- 메소드
- 자바
- 탈중화
- 프로그래밍
- It
- #정보보안 #어셈블리 #저급언어 #기계어 #it #정보보안
- 객체
- PYTHON
- HTML Injection #bWAPP
- 포렌식
- Forensic #CTF #디지털포렌식 #disk forensic
- 디지털 포렌식
- 안드로이드 #서비스 #안드로이스 서비스 #Android #java
- 파일 접근 권한 #linux #chown #chmond #umask #명령어
- 안드로이드 #스레드 #핸들러 #예제
- CIDR #서브넷 #Network #ip 주소고갈
- 파이썬
- evm
- Today
- Total
Jsecurity
실시간 대응- 휘발성 데이터 본문
#휘발성 데이터 (Volatile Data)
휘발성 데이터란 전원의 공급이 끊기거나 시간이 흐름에 따라 자연히 저장 공간에서 사라지는 데이터로
말 그대로 휘발성을 가진 디지털 데이터를 의미하는 용어다.
일반적으로 디지털 포렌식에서는 컴퓨터가 켜져 있을 때,
보조기억장치에 해당하는 물리 메모리(RAM)에 로딩되어 있는 데이터를 가리켜 휘발성 데이터라 한다.
전원이 끊어지면 손실되는 데이터 => 초기 분석 수행 => 시스템 명 령어 및 Tool 활용 ->
FDD , USB 장치 등에 수집
#종류
- 현재 시스템 날짜와 시간은?
- 현재 실행 되고 있는 프로세스 정보는 무엇인가?
- 현재 시스템에 누가 접속 하였는가?
- 현재 열려 있는 포트는 몇 번인가?
- 현재 실행 되고 있는 프로그램들은 무엇인가?
- (메모리에 남아 있는) 최근 접속 기록은?
#비 휘발성 데이터 (Non Volatile Data)
비 휘발성 데이터란 컴퓨터 시스템의 보조 기억 장치(HDD, SSD 등)에 저장되어 전원이 공급 되지 않아도, 유실되지 않는 데이터를 의미한다. 이름과 같이 휘발성 데이터와는 반대되는 개념으로, 안정적으로 시스템에 적재되어 있기 때문에 상대적으로 안정적인 수집이 가능하여 휘발성 데이터의 수집 이후에 수집하는 것이 일반적이다.
전원이 끊어져도 데이터가 손실이 없는 데이터 => 상세 분석 수행
#저장 매체 압수
- 시스템 시각을 Check, 사진으로 남김
- 컴퓨터 시스템 데이터 변조 방지
#저장 매체 복제
- 디스크 복제기 이용
#이미지 생성
-Encase, 리눅스의 dd 및 nc 명령 이용
Registry, 시간 정보, Internet 관련 정보(cache, cookie, history), E-Mail, 암호화된 파일, 윈도우 로그 등
#휘발성 순위
휘발성 데이터는 동작중인 시스템의 메모리에 존재하고 있다.
존재하는 휘발성 데이터들의 수명은 그 특성으로 인하여 다르다 따라서, 휘발성 증거 수집에 있어서 우선 순위를 고려해야 한다. 예)
#현재 네트워크 연결 정보
netstat, LISTENING/ESTABLISHED/CLOSE_WAIT 고려
예) 클립보드
클립보드 Viewer, Ctrl+C, Ctrl+V 조작으로 이전 데이터가 삭제 될 수 있다.
#windows 휘발성 데이터
- 날짜와 시간
- Logged-on 사용자 정보 공유 폴더 정보 Remote에서 Open한 파일 네트워크 정보
- 네트워크 연결 정보 프로세스 정보
- 프로세스와 네트워크 연결 정보 프로세스 사용 파일 정보 클립보드 데이터
- Command history
- 기타.. (프로세스 메모리, 연결된 드라이브 등)
'포렌식 > 디지털 포렌식' 카테고리의 다른 글
폰 노이반과 하바드 아키텍쳐 비교 (0) | 2019.04.07 |
---|---|
명령어 구조에 따른 프로세서 (0) | 2019.04.07 |
포렌식 실시간 대응 (0) | 2019.03.19 |
사이버포렌식 실무 : 형사소송법상 전문법칙의 예외 (0) | 2018.11.21 |
사이버포렌식 실무 : 증거의 의의와 종류 및 증거능력과 증명력 (0) | 2018.11.14 |