휘발성 정보 수집 절차는 정확히 표준으로 정해진 것은 없다.

조사관마다 판단에 의해 절차가 정해져 수집이 이루어지는데 현재로서는 아래 두가지 문서가 많은 조사관들에게 길잡이

역할을 하고 있다(휘발성정보 수집의 순서는 상황, 조사관 판단에 따라 임의적으로 바뀔 수 있다)

[휘발성정보 수집 가이드라인]
1. Guidelines for Evidence Colletion and Archving(RFC 3227)



2. Guide to integrating Forensic Techniques into Incident Response(NIST Special Publication 800-86)


두 문서에서는 휘발성정보 수집 순서가 적혀있는데 살펴보면 다음과 같다.

 RFC 3227  NIST Special Publiction 800-86
 레지스터, 캐시  네트워크 연결 정보
 라우팅 테이블, ARP 캐시, 프로세스 테이블,
커널 사용정보, 
물리적 메모리
 로그온 세션
 임시파일  물리적 메모리
 디스크  프로세스 정보
 원격 로그인 모니터링 정보  열린 파일
 물리적 설정, 네트워크 구성  네트워크 설정 정보
 기타 저장장치  시스템 시간

위 두가지 문서의 순서를 100% 의존해서는 안되며 예를 들어 문서에서 주관적으로 정한 것 뿐이다.

그래서 두 문서의 순서가 다른 것이다.

휘발성정보 수집을 하기 위해서는 윈도우에서 기본적으로 지원하는 명령어(프로그램)을 사용하기도 하고, 인터넷에서 검증 받은

Live Response 도구를 사용하여 수집하기도 한다.

도구들을 사용하기 위해서는 대상 컴퓨터의 관리자권한이 필수적으로 필요하다

관리자 권한을 얻기 위해서는 여러가지 방법이 있는데 제일 생각하기 쉬운 대상시스템의 현재 사용자 로그오프 후 관리자

로그인 방법은 포렌식적으로 봤을 때 잘못된 방법이므로 관리자 권한을 얻기위한 방법들에서 제외된다.

이유는, 로그오프 후 다시 관리자로 로그인 할 경우 해당 세션휘발성 정보들이 사라질 수 있기 때문이다.

그렇다고 BOF 등으로 해킹을 해서도 안된다.

윈도우에서 기본적으로 지원하는 명령어(프로그램) 중 Runas라는 것이 있는데 해당 명령어를 사용하여 관리자권한을 얻으면

된다.

아래는 Runas 명령어의 실행 모습이다.

[그림 1 - Runas 명령어 옵션 설명]

윈도우에서 리눅스의 su 명령어처럼 해당 세션을 유지시키며 관리자권한을 얻을 수 있는 방법은 없는 것일까?

없지는 않지만, 해커들이 만든 불법적인 프로그램들이므로 시스템에 어떠한 영향을 미치는지 몰라 사용을 하지 않는 것이 좋다.

'[+] Forensic' 카테고리의 다른 글

휘발성 정보 수집 (3)  (0) 2011.12.21
휘발성 정보 수집 (2)  (2) 2011.12.20
휘발성 정보 수집 (1)  (0) 2011.12.20
Dynamic-Link Library Redirection  (0) 2011.12.19
Live Response ?(2)  (0) 2011.12.19

+ Recent posts