Mac OS X - Live Response (1)

Mac OS X는 Apple社에서 개발한 운영체제이며 그 기반은 Unix를 두고 있다. 해당 OS에서의 휘발성 정보들은 다른 OS들의 휘발성 정보와 대부분 동일하며 그 수집 방법만 조금 다를 뿐이다. Mac OS X에서도 다른 OS와 마찬가지로 시간정보, 네트워크 연결정보, 프로세스 목록 등을 수집한다. 그럼 이제부터 하나씩 살펴보자.

 * 참고 : Mac OS X는 Unix를 기반으로 두고 있기 때문에 대부분의 Unix 명령어가 동일하게 적용된다. 그렇기 때문에 Linux에서도 아래와 같은 명령어들로 동일하게 휘발성 정보를 수집 할 수 있다.

[시스템 시간]

Windows의 경우 date 명령어와 time 명령어의 조합을 이용하여 시스템의 현재 시간 정보를 수집하였었는데, Mac OS X에서도 동일하게 date이란 명령어로 시스템의 현재 시간 정보를 수집 할 수 있다. 또 해당 시스템이 얼마나 부팅되어 있었는지도 알 수 있는데 이때 사용하는 명령어는 uptime 명령어이다.

[그림 1 - date 명령어]

[그림 2 - uptime 명령어]

시스템 시간은 어떤 사건의 발생 시점이나 끝난 시점 등과 같은 기준점이나 범위를 구분지어 주기 때문에 굉장히 포렌식에서 중요한 정보이다.

[네트워크 연결 정보]

네트워크 정보 또한 휘발성 정보 중 하나인데, 현재 시스템이 연결하고 있는 호스트와 연결했던 호스트 등을 보여준다. 하지만 시스템이 재시작 되거나 종료되면 해당 정보는 모두 지워져 버리기 때문에 휘발성 정보에 속하는 것이다. Windows 에서는 netstat -an 명령어로 네트워크 연결 정보를 수집했었는데 Mac OS X 또한 동일하다.

[그림 2 - netstat -an 명령어]

[프로세스 목록]

어떤 OS에서든지 프로세스 목록을 수집하는 일은 중요시 여겨진다. RootKit이나 Backdoor의 프로세스가 실행되고 있을 수 있기 때문이다. 프로세스의 목록은 ps 명령어로 수집할 수 있는데 보통 사용하는 옵션은 ef옵션이다.

[그림 3 - ps -ef 명령어]