본문 바로가기

휘발성 정보 수집

휘발성 정보 수집 (5) 마지막으로 휘발성 정보 수집은 프로세스 덤프가 있다. [프로세스 덤프] 프로세스는 소스코드와 DLL 파일, 실행전체경로 등을 가상메모리에 업로드해 동작한다. 프로세스 덤프란 정확히 말하면 프로세스가 사용하는 가상메모리를 덤프하는 것이며, 덤프를 분석함으로써 좀 더 정확하고 중요한 정보를 얻게 될 수 있다. 덤프 방법으로는 MS사에서 개발한 userdump.exe 도구를 사용하는 것인데, 이 도구는 일반적으로 OS에 포함되어 있지 않기 때문에 별도로 다운받아 설치를 해야 한다. 이 도구는 32bit 환경의 시스템과 64bit 환경의 시스템을 지원하기 때문에 호환성이 좋다. 해당 도구를 사용할 때는 프로세스가 정지상태이어야만 정확한 덤프가 가능하다. 프로세스가 동작하고 있다면 메모리에 내용이 덤프 중 변경 .. 더보기
휘발성 정보 수집 (3) 휘발성 정보중에 로그온 사용자, 파일핸들, Open 포트와 프로세스 맵핑, 명령어 히스토리에 대한 정보 수집도 중요하다. 이를 위해 많은 툴들과 명령어들이 있는데 차근차근 살펴보도록 할 것이다. [로그온사용자 정보] 로그온 사용자 정보를 수집하는데에 필요한 명령어는 net session이라는 명령어와 도구로는 Psloggedon, Logonsession이라는 도구가 있다. net session의 경우 원격에서 로그온한 사용자의 정보를 보여주고, psloggedon과 Logonsession 도구는 로컬로그온 사용자와 원격로그온 사용자의 정보를 보여준다. 하지만 자세한 정도에서는 Logonsession이 더 앞선다. 이유는 Logonsession은 해당 사용자가 실행한 프로세스까지 출력해주기 때문이다. [그.. 더보기
휘발성 정보 수집 (2) 휘발성 정보 수집에는 여러가지가 있는데 이에 대해 간단히 알아 볼 것이다. [시스템 시간] 시스템 시간은 포렌식에서 중요한 의미를 갖는다. 시스템 시간은 윈도우 cmd에서 기본적으로 지원하는 data와 time 명령어로 수집 가능하다. 윈도우 하단에 있는 트레이바의 시간패널을 조작하면 레지스트리에 기록이 남지만, cmd 명령어로 수정할 경우 레지스트리에 기록이 남지 않는다. [그림 1 - 시스템 시간 수집 화면] [네트워크 연결 정보] 휘발성중에 휘발성이라 할 수 있는 정보이다. 만약 개별적으로 운영하는 방화벽이나 방화벽 어플리케이션이 있다면 해당 정보보다 더 우선적으로 방화벽 로그의 분석이 수행 되어야 한다. 해당 정보는 순간 정보이지만, 방화벽의 정보는 장기간에 걸친 정보이기 때문이다. 네트워크의 연.. 더보기