Mac OS X 썸네일형 리스트형 Forensic CheatSheet 앞으로는 시간이 될 때마다 디지털 포렌식 아티팩트를 항목 별로 정리해 공개할 예정입니다. 본 블로그를 통해 공개되는 자료는 케이스 분석과 실험을 통해 검증된 데이터입니다. 혹시나 잘못된 데이터가 있거나, 추가할만한 데이터가 있다면 언제든 연락 바랍니다.이번에 공개할 자료는 "윈도우 운영체제에서 장치 연결 흔적과 관련된 아티팩트" 입니다. 현재 인터넷에 공개되어 있는 데이터는 대부분 레지스트리 아티팩트만 정리되어 있고, 최신 운영체제를 반영하지 못하고 있어 사고 분석 시 일부만 참고할 수 있습니다. 그래서 본 자료에는 레지스트리와 이벤트로그, 그리고 분석 시 참고할만한 사항을 코멘트로 달아뒀습니다. 사고 분석 시 많은 도움이 되었으면 좋겠습니다. 파일 공개는 회사 블로그로 대체합니다. http://blog.. 더보기 Mac OS X - Live Response (5) 이번에는 사용자의 행동과 관련된 정보들을 찾아 볼 것이다. Mac OS X에서는 사용자의 여러 행동 정보(접근/실행 한 파일 및 디렉토리 등)를 plist로 저장해 두고 있다. [최근 접근한 어플리케이션] 사용자가 최근 접근한 어플리케이션의 정보를 저장하는 plist 파일이 있는데 파일 명은 com.apple.recentitmes.plist(오타 아님)이다. 파일의 위치는 /Users//Library/Preferences 이다. 파일은 실행 프로퍼티 리스트로 plutil로 변환하여 보면 [그림 1]과 같다. [그림 1 - com.apple.recentitmes.plist 파일의 일부분] 한가지 특징으로는 접근한 시간, 즉 타임스탬프를 제공해주지 않는다는 점이다. 그렇기 때문에 해당 정보만을 가지고 특정 .. 더보기 Mac OS X - Live Response (3) 포렌식에서 어떤 대상을 분석하던 시간은 정말 중요한 정보이며 사건의 기준이 된다. Mac OS X에서는 시간 값이 어떻게 변화되는지 간단하게 알아보자.Mac OS X도 다른 OS나 파일시스템과 동일하게 MAC(Modify, Access, Create) Time이 존재하고, 여기에 추가적으로 Change Time이 존재한다.(HFS+ 파일시스템에서 시간 정보는 Catalog File의 파일레코드에 존재한다.) [그림 1 - 시간 종류별 설명] * 참고 : Change Time이 갱신 될 경우 Modify Time도 같이 갱신 된다. 그럼 이제부터 [그림 1]의 설명들이 무엇을 의미하는지 알아보도록 하겠다. touch 명령어로 간단히 파일을 생성하고 그 시간을 한번 알아보면 [그림 2]와 같다. [그림 2 .. 더보기 Mac OS X - Live Response (2) [사용자 정보]Mac OS X는 이전에도 말했듯 유닉스를 기반으로 하고 있다. 유닉스는 다중 사용자 시스템으로 여러 사용자들이 동시에 접속하여 어떠한 기능 수행을 할 수 있다. 그렇기에 현재 접속하고 있는 사용자들을 알아 볼 수 있으며 이 정보는 시스템의 전원이 Off 되는 순간 지워져 버린다. 꼭 현재 접속한 기록이 아닌 이전에 접속했던 사용자 기록 또한 찾아 볼 수 있다.먼저 현재 접속한 사용자들의 정보를 수집하여 보자. 이때 사용되는 명령어는 w(who)이다. [그림 1 - w 명령어] 또 현재 원격의 사용자와 로컬 사용자 정보를 알아보는 명령어로 finger 명령어가 있으며 자주 사용되는 옵션은 -lmsp 이다. * 참고 : 해당 명령어는 /etc/passwd에 기초하여 정보를 출력해준다. [그림.. 더보기 Mac OS X - Live Response (1) Mac OS X는 Apple社에서 개발한 운영체제이며 그 기반은 Unix를 두고 있다. 해당 OS에서의 휘발성 정보들은 다른 OS들의 휘발성 정보와 대부분 동일하며 그 수집 방법만 조금 다를 뿐이다. Mac OS X에서도 다른 OS와 마찬가지로 시간정보, 네트워크 연결정보, 프로세스 목록 등을 수집한다. 그럼 이제부터 하나씩 살펴보자. * 참고 : Mac OS X는 Unix를 기반으로 두고 있기 때문에 대부분의 Unix 명령어가 동일하게 적용된다. 그렇기 때문에 Linux에서도 아래와 같은 명령어들로 동일하게 휘발성 정보를 수집 할 수 있다. [시스템 시간]Windows의 경우 date 명령어와 time 명령어의 조합을 이용하여 시스템의 현재 시간 정보를 수집하였었는데, Mac OS X에서도 동일하게 d.. 더보기 이전 1 다음
