본문 바로가기

[+] Forensic

휘발성 데이터와 비휘발성 데이터

1. 휘발성 데이터 
   1) 사고대응 시 휘발성이 가장 큰 데이터 최초수집.
   2)  휘발성 순서는 어떤 데이터가 다른 데이터보다 더 짧은 '수명' 또는 '보존 기간'을 가지는지 설명
   3) 데이터 수집 시 RFC 3227 문서의 휘발성 순서 및 로카드르 교환법칙 모두를 감안할 필요가 있음.

2. 비휘발성 데이터
   1) 비휘발성 데이터는 조사에 영향을 줄 수 있으므로, 실시간 대응의 일부로 데이터를 수집할 필요가 있음.
   2) 비휘발성 데이터는 사후 조사를 후속으로 진행할지에 대한 결정에 영향을 줌.


RFC 3227 휘발 순서
1. registers, cache
2. routing table, arp cache,process table, kernel staistics, memory
3. temporary file sysem
4. disk
5. remote logging and monitoring data that is relevant to the system in question
6. physical configuration, network topology
7. archival media




'[+] Forensic' 카테고리의 다른 글

Live Response ?(1)  (0) 2011.12.18
디지털 포렌식 관련 법률  (0) 2011.12.18
실시간 대응과 실시간 획득  (0) 2011.10.12
로카르드의 교환법칙  (0) 2011.10.12