Digital Forensic [실시간 대응 시스템 정보 수집]

실시간 증거 수집 및 분석

​

-시스템 관련 정보-​​

1. psinfo (–h –s –d) 

핫 픽스 정보(-h), 설치된 소프트웨어 목록 정보(- s), 디스크 볼륨 정보(-d) 

www.sysinternals.com 

서비스 팩 설치 현황 및 소프트웨어 설치 현황으 로 사고 상황을 파악한다.

​

2. systeminfo

PC의 하드웨어 / OS / 네트워크 / Hot Fix 정보 파악 

Psinfo와 유사, XP Pro 이상

​

사용자 (account) 관련 정보의 수집

시스템에 등록된 사용자 

로그인한 사용자 

네트워크로 로그인 한 사용자 

로그인 성공/실패 등의 감사 기록

​

사용자 관련 정보 수집 의미

시스템에 등록된 사용자가 정당한 사용자인지 식별 

프로그램 설치로 등록된 사용자를 파악하고 해당 프로그램의 특성에 따른 추가 수집 및 분석 

네트워크로 로그인 한 사용자를 식별하고 추적

​

*시스템에 등록된 사용자와 실제 사용 주체(사람 또는 프로그 램)를 파악해야 한다*

​

3. set user

로그인한 사용자의 도메인, 이름, 프로파일

4. net user

로컬 컴퓨터의 사용자 정보 수집

알지 못하는 계정에 대해서 상세 검색 : 최근 로그인 시간, 계정 생 성 날짜 등 확인

​

확인 : net user, net user [사용자 계정] 

생성 : net user kcp /add kcp1234 

삭제 : net user kcp /delete

​

logonsessions –p:

현재 접속된 모든 User의 접속 시간, 실행된 프로세스 정보 획득 가능

​

공유폴더 관련 수집

로컬 컴퓨터의 모든 네트워크 공유 자원에 대한 정보 

공유 자원(폴더 또는 파일)에 접근한 사용자 정보 

외부에서 사용자가 접근한 공유 자원(폴더 또는 파일)

​

공유폴더 관련 정보 수집의 의미

자료 유출 경위 여부 파악 

임의로 공유된 자원이 있는지 파악 

불허되었거나 알지 못하는 외부에서 공유 자원 접근 여부 파악 (IP와 User Account 접근 권한) 

시스템 취약성(시스템 기본 정보 수집에서 파악)으로 인한 공유 위험 성 및 임의 접근 가능성 분석

​

net share [공유 이름]

로컬 컴퓨터의 모든 네트워크 공유 자원에 대한 정보 

알지 못하는 공유 자원이 있는지 점검(NETBIOS 취약성)

​

네트워크 관련 정보 수집

IP, MAC, DNS 등 기본 정보 

Routing Table 정보 

현재 Open된 Port 정보 (Port 사용 프로세스 포함) 

현재 연결된 세션 정보 (Port 사용 프로세스 포함)

​

네트워크 관련 정보 수집의 의미

IP의 임의 사용 여부 판별 

접속 기록의 의심 IP에 대한 대상 시스템 IP 일치 여부 판단 

Routing Table 변조 여부 분석 

외부와의 불법적인 통신 여부와 해당 프로세스 식별

​

ipconfig(/all) : Local IP 정보

로컬 컴퓨터에 설정된 IP 정보 및 Mac주소

​

netstat (–ano) : 현재 사용 중인 TCP/UDP정보

Proto : 현재 사용한 프로토콜 

State : 연결 상태를 나타냄

1. ESTABLISHED :현재 연결되었다는 상태 

2. LISTENING :연결을 위하여 접속을 기다리는 상태 

3. TIME_WAIT :이미 해당 사이트와 연결이 종료 되었거나 다음 연결을 위해 기다리는 상태 

4. SYN_SENT :접속하기 위해 패킷을 전송함

​

​

TCP viewer : 프로세스가 사용하는 네트워크 정보

www.sysinternals.com 

tcpvcon.exe

​