본문 바로가기

[+] Forensic

휘발성 정보 수집 (3)

휘발성 정보중에 로그온 사용자, 파일핸들, Open 포트와 프로세스 맵핑, 명령어 히스토리에 대한 정보 수집도 중요하다.

이를 위해 많은 툴들과 명령어들이 있는데 차근차근 살펴보도록 할 것이다.

[로그온사용자 정보]
로그온 사용자 정보를 수집하는데에 필요한 명령어는 net session이라는 명령어와 도구로는 Psloggedon, Logonsession이라는 도구가 있다.
net session의 경우 원격에서 로그온한 사용자의 정보를 보여주고, psloggedon과 Logonsession 도구는 로컬로그온 사용자와 원격로그온 사용자의 정보를 보여준다. 하지만 자세한 정도에서는 Logonsession이 더 앞선다. 이유는 Logonsession은 해당 사용자가 실행한 프로세스까지 출력해주기 때문이다.

[그림 1 - net session 명령어 실행 결과]

현재 접속한 원격로그온 사용자가 없기 때문에 목록에 항목이 없다고 표시되는 것이다.

 

[그림 2 - Psloggedon.exe 실행 결과]

현재 원격로그온 사용자는 없고, 로컬 사용자만 있어 위와 같은 결과가 나온 것이다.

 

[그림 3 - Logonsession.exe 실행 결과]

위 이미지에서 보듯이 /p 옵션을 프로그램에 주게 되면 해당 사용자가 실행하고 있는 프로세스까지 보여준다.


[파일 핸들]
파일 핸들의 정보를 수집하고 분석함으로써 해당 사용자가 어떠한 행동과 목적이 무엇인지 대략적으로 파악이 가능하다.
파일 핸들 정보를 수집하는데에는 net file명령어가 있고 도구로는 Psfile가 있다.

 

[그림 4 - net file 명령어 실행 결과]

따로 열어둔 파일이 없어 목록이 없는 것이다.

 [그림 5 - Psfile.exe 실행 결과]

역시 마찬가지로 열어둔 파일이 없기에 아무것도 표시되지 않는다.


[Open 포트와 프로세스 맵핑 정보]
해당 정보를 수집하고 분석하여 어떠한 프로세스가 어떤 포트로 어떤 서버와 연결하여 어떤 작업을 하고 있는지 파악 할 수 있다. 분석 할 때 well-known port라고 하여 모두 믿어서는 안되며(설정으로 변경 가능하기 때문) 하나하나 자세히 살펴보는 것이 좋다.
해당 정보를 수집하기 위해서는 netstat -b 명령어가 있고, Openport 도구를 사용하여 수집할 수도 있다.
netstat -b 명령어는 간단하게 정보를 수집할 수 있어 편리하지만, 프로세스의 전체경로를 제공하지 않기 때문에 추후에 또다른 작업을 해야 하기 때문에 번거로움이 생긴다.
그에 비해 Openport는 fport 출력형식을 지정해주면 프로세스의 전체경로를 제공하기 때문에 여러모로 편리하다.

[그림 6 - netstat -b 명령어 실행 결과]

Openports.exe 도구는 현재 제공하는 사이트에서 접근을 막고 있어 구할 수가 없었다..
인터넷에 올려진 Openports.exe는 뭔가 믿을만한 구석이 없어 테스트 해보지 않았다.
나중에 순정으로 구하게 되면 다시 포스팅 하겠다.


[히스토리]
히스토리 정보를 수집하는 것은 매우 중요하면서 간단한 일이다. 어떠한 행동들을 하였는지 직관적으로 파악 할 수 있는 것이 히스토리 정보이기 때문에 중요하다. 윈도우에서 기본적으로 지원하는 doskey 명령어를 사용하면 cmd에서 어떠한 명령어를 사용하였는지 보여준다.

 [그림 7 - doskey/history 명령어 실행 결과] 


위 도구들 중 sysinternals.com에서 만든 도구들은  http://live.sysinternals.com/ 에서 다운로드 할 수 있다.

'[+] Forensic' 카테고리의 다른 글

휘발성 정보 수집 (5)  (0) 2011.12.23
휘발성 정보 수집 (4)  (0) 2011.12.21
휘발성 정보 수집 (3)  (0) 2011.12.21
휘발성 정보 수집 (2)  (2) 2011.12.20
휘발성 정보 수집 (1)  (0) 2011.12.20