본문 바로가기

[+] Forensic

Live Response ?(1)

[정의]
1. 살아있는(구동하고 있는) 시스템에서 휘발성 정보를 수집하는 행위를 말하며, 컴퓨터 포렌식 조사
   과정중에 하나 이다.

2. 해당 행위의 범위는 구동되고 있는 시스템에서 수집 가능한 모든 정보의 수집과 분석, 그리고 이를
   바탕으로 한 사고의 처리까지 이다. 


예전에는 침해사고 시스템의 전원 플러그를 뽑고 하드 드라이브의 이미지를 복사하는 것이 가장 기본적이고 상식적인 절차였다.

하지만, 근래에 들어서는 휘발성 정보의 중요성이 인식되어 휘발성 정보를 수집하고 분석하는 쪽으로 방법론이 빠르게 이동하고 있다.

[Live Response의 중요성]
1. 휘발성 저장장치에서만 찾을 수 있는 정보가 있기 때문에 중요하다.
    - 현재 동작중인 프로세스
    - 열려있는 파일 목록
    - 네트워크 연결 정보
    - 클립보드
    - 사용자 정보
    - 임시파일
    - 비밀번호
    - 복호화된 데이터
    - etc
2. 수집한 휘발성 정보를 우선적으로 평가함으로써 시스템의 대략적인 상태를 파악할 수 있다.
    -  설치된 윈도우 버전과 서비스팩을 파악함으로써 해당 시스템의 취약점을 대략적으로 목록화 할 수 있으며,
        휘발성 정보를 해당 취약점과 연계하여 조사해야 할 범위를 좁혀 수사에 필요한 시간을 절약해 준다.

3. 금융회사나 게임회사, 온라인 쇼핑몰등 24시간 운영되는 서버 컴퓨터가 있는 곳에서 유용하다.
    - 이러한 회사들의 서버 컴퓨터의 종료는 회사의 막대한 금전적 손실을 일으킬 수 있어 시스템의 종료 할 수 없어
       이런 경우 Live 상태에서 모든 증거를 수집하고 분석해야 한다. 이러한 경우 휘발성 정보의 수집과 분석이 최우선
       과제가 된다.

 
 

'[+] Forensic' 카테고리의 다른 글

Dynamic-Link Library Redirection  (0) 2011.12.19
Live Response ?(2)  (0) 2011.12.19
Live Response ?(1)  (0) 2011.12.18
디지털 포렌식 관련 법률  (0) 2011.12.18
휘발성 데이터와 비휘발성 데이터  (2) 2011.11.09