live response 썸네일형 리스트형 Mac OS X - Live Response (5) 이번에는 사용자의 행동과 관련된 정보들을 찾아 볼 것이다. Mac OS X에서는 사용자의 여러 행동 정보(접근/실행 한 파일 및 디렉토리 등)를 plist로 저장해 두고 있다. [최근 접근한 어플리케이션] 사용자가 최근 접근한 어플리케이션의 정보를 저장하는 plist 파일이 있는데 파일 명은 com.apple.recentitmes.plist(오타 아님)이다. 파일의 위치는 /Users//Library/Preferences 이다. 파일은 실행 프로퍼티 리스트로 plutil로 변환하여 보면 [그림 1]과 같다. [그림 1 - com.apple.recentitmes.plist 파일의 일부분] 한가지 특징으로는 접근한 시간, 즉 타임스탬프를 제공해주지 않는다는 점이다. 그렇기 때문에 해당 정보만을 가지고 특정 .. 더보기 Mac OS X - Live Response (3) 포렌식에서 어떤 대상을 분석하던 시간은 정말 중요한 정보이며 사건의 기준이 된다. Mac OS X에서는 시간 값이 어떻게 변화되는지 간단하게 알아보자.Mac OS X도 다른 OS나 파일시스템과 동일하게 MAC(Modify, Access, Create) Time이 존재하고, 여기에 추가적으로 Change Time이 존재한다.(HFS+ 파일시스템에서 시간 정보는 Catalog File의 파일레코드에 존재한다.) [그림 1 - 시간 종류별 설명] * 참고 : Change Time이 갱신 될 경우 Modify Time도 같이 갱신 된다. 그럼 이제부터 [그림 1]의 설명들이 무엇을 의미하는지 알아보도록 하겠다. touch 명령어로 간단히 파일을 생성하고 그 시간을 한번 알아보면 [그림 2]와 같다. [그림 2 .. 더보기 Mac OS X - Live Response (2) [사용자 정보]Mac OS X는 이전에도 말했듯 유닉스를 기반으로 하고 있다. 유닉스는 다중 사용자 시스템으로 여러 사용자들이 동시에 접속하여 어떠한 기능 수행을 할 수 있다. 그렇기에 현재 접속하고 있는 사용자들을 알아 볼 수 있으며 이 정보는 시스템의 전원이 Off 되는 순간 지워져 버린다. 꼭 현재 접속한 기록이 아닌 이전에 접속했던 사용자 기록 또한 찾아 볼 수 있다.먼저 현재 접속한 사용자들의 정보를 수집하여 보자. 이때 사용되는 명령어는 w(who)이다. [그림 1 - w 명령어] 또 현재 원격의 사용자와 로컬 사용자 정보를 알아보는 명령어로 finger 명령어가 있으며 자주 사용되는 옵션은 -lmsp 이다. * 참고 : 해당 명령어는 /etc/passwd에 기초하여 정보를 출력해준다. [그림.. 더보기 Mac OS X - Live Response (1) Mac OS X는 Apple社에서 개발한 운영체제이며 그 기반은 Unix를 두고 있다. 해당 OS에서의 휘발성 정보들은 다른 OS들의 휘발성 정보와 대부분 동일하며 그 수집 방법만 조금 다를 뿐이다. Mac OS X에서도 다른 OS와 마찬가지로 시간정보, 네트워크 연결정보, 프로세스 목록 등을 수집한다. 그럼 이제부터 하나씩 살펴보자. * 참고 : Mac OS X는 Unix를 기반으로 두고 있기 때문에 대부분의 Unix 명령어가 동일하게 적용된다. 그렇기 때문에 Linux에서도 아래와 같은 명령어들로 동일하게 휘발성 정보를 수집 할 수 있다. [시스템 시간]Windows의 경우 date 명령어와 time 명령어의 조합을 이용하여 시스템의 현재 시간 정보를 수집하였었는데, Mac OS X에서도 동일하게 d.. 더보기 Live Response ?(2) [Live Response 수행 여부] Live Response는 상황에 따라 할수도 있고 하지 않을 수도 있다. 그렇기에 해야 할 상황을 정리하기는 힘들고, 그 반대로 하지 않아야 할 상황을 알아두어야 한다. 1. 해커나 악성코드등에 의해 시스템에 존재하는 어떠한 파일이 삭제되고 있을 때 - 이럴때는 Live Response를 수행하기 보다는 시스템의 전원 플러그를 제거하는 것이 좋다. 삭제되는 파일이 로그파일일수도 있지만, 조직에 영향을 미치는 중요한 파일 일 수도 있기 때문이다. 2. 조사를 수행할 때의 도구가 검증되지 않은 도구일 때 - 주로 공개용 도구에 해당하는데, 검증되지 않은 도구를 사용하면 시스템에 어떤 영향을 미칠지 모르기 때문이다. 전원 플러그를 제거하는 것이 좋다고 위에 설명이 되어.. 더보기 이전 1 2 다음
