본문 바로가기

[+] Forensic

Mac OS X - Live Response (2)

[사용자 정보]

Mac OS X는 이전에도 말했듯 유닉스를 기반으로 하고 있다. 유닉스는 다중 사용자 시스템으로 여러 사용자들이 동시에 접속하여 어떠한 기능 수행을 할 수 있다. 그렇기에 현재 접속하고 있는 사용자들을 알아 볼 수 있으며 이 정보는 시스템의 전원이 Off 되는 순간 지워져 버린다. 꼭 현재 접속한 기록이 아닌 이전에 접속했던 사용자 기록 또한 찾아 볼 수 있다.

먼저 현재 접속한 사용자들의 정보를 수집하여 보자. 이때 사용되는 명령어는 w(who)이다.


[그림 1 - w 명령어]


또 현재 원격의 사용자와 로컬 사용자 정보를 알아보는 명령어로 finger 명령어가 있으며 자주 사용되는 옵션은 -lmsp 이다.


 * 참고 : 해당 명령어는 /etc/passwd에 기초하여 정보를 출력해준다.


[그림 2 - finger 명령어]


이번에는 이전에 접속했던 사용자들의 정보를 수집하여 보자. 이때 사용되는 명령어는 last 명령어이다.


[그림 3 - last 명령어]



[파일 정보]

현재 어떤 파일이 어떤 명령으로 인해 열려있고 또 어떤 네트워킹 작업을 하고 있는지 수집 할 수 있는 명령어로 lsof 명령어가 있다. 자주 사용하는 옵션으로는 -i -P 옵션이 있다.


[그림 4 - lsof 명령어]



'[+] Forensic' 카테고리의 다른 글

Mac OS X - Live Response (3)  (0) 2012.05.03
Memory Forensics PoketBook(KR)  (0) 2012.04.30
Mac OS X - Live Response (2)  (0) 2012.04.30
Mac OS X - Live Response (1)  (0) 2012.04.29
디지털 포렌식과 하둡에 관한 고찰  (0) 2012.04.09