Hello Security World

레지스트리 증거 수집 및 분석 [Windows Registry] Registry 란 ? 운영체제 내에서 작동하는 모든 하드웨어, 소프트웨어, 사용자 정보 및 시스템 구성 요소 등을 담고 있는 데이터베이스 ​ 구성 1. HKEY_CLASSES_ROOT를 비롯하여 5개의 가장 상위키(=루트키)를 가짐. 2. 각 루트키 아래의 하위키부터 그 아래의 모든 하위 키를 포함 하는 트리 구조를 하이브(Hive)라고 함 3. 각각의 하이브는 저마다 고유한 저장장소(파일)와 로그 파일을 갖 고 있음. ​ 루트키 1. HKET_CLASS_ROOT 파일 확장자에 대한 정보, 각 파일과 프로그램간의 연결에 대한 정보,마우스 오른쪽 단추의 등록 정보 등 모든 형식의 파일 확장자가 sub key 형태로 구성되어 있음 ​ 2. H..

Windows Memory 이해 Virtual Address Space (VAS) VAS 는 실제 Physical Memory를 mapping한 가상 주소를 사용하는 것으로 Phsical Memory 한계를 극복할 수 있고 OS가 메모리 접근을 관리하여 Memory Protection을 가능하게 한다. ​ Windows 는 VAS를 Physical Memory에 저장할 수 없는 Memory 정보는 page file로 저장하게 된다. [이를 paging이라고 한다.] Process의 메모리 공간은 공유되지 않는 한 다른 Process가 접근하지 못한다. 32bit환경에서는 최대 VAS는 4GB이고 64bit 환경에서는 2의 64bit만큼 VAS를 가질수 있다. ​ 일반적인 메모리 공간 4GT(4GB Tun..

실시간 대응 프로세스 정보 수집 프로세스 관련 수집 실행중인 모든 프로세스 목록  서비스 목록  프로세스의 사용률(CPU, Memory, etc..)  프로세스가 사용하는 모듈 (DLL)  프로세스가 Open한 파일, Registry 등 ​ 프로세스 관련 수집의 목적 의심 프로세스 및 관련 파일 식별 (높은 CPU/ Memory 점유율, 다수의 파일 사용, 특정 폴더의 접근, ADS의 사용, 알려진 해킹 모듈의 동작, 무작위로 구성된 파일명, 프로그램 버전 사용 부재, 시스템 프로세스와 유사한 프로세스 명, 정상적이지 않은 프로세스 파일 Path 등) 자동 시작 프로그램 식별 (서비스) ​ pslist – http://www.sysinternals.com  실행 중인 모든 프로세스 목록과 CPU..

실시간 증거 수집 및 분석 ​ -시스템 관련 정보-​​ 1. psinfo (–h –s –d) 핫 픽스 정보(-h), 설치된 소프트웨어 목록 정보(- s), 디스크 볼륨 정보(-d) www.sysinternals.com 서비스 팩 설치 현황 및 소프트웨어 설치 현황으 로 사고 상황을 파악한다. ​ 2. systeminfo PC의 하드웨어 / OS / 네트워크 / Hot Fix 정보 파악  Psinfo와 유사, XP Pro 이상 ​ 사용자 (account) 관련 정보의 수집 시스템에 등록된 사용자 로그인한 사용자 네트워크로 로그인 한 사용자 로그인 성공/실패 등의 감사 기록 ​ 사용자 관련 정보 수집 의미 시스템에 등록된 사용자가 정당한 사용자인지 식별 프로그램 설치로 등록된 사용자를 파악하고 해당 프로그..

실시간 대응 개요 1. 실시간 대응의 중요성 2. Locard's Exchange Principle [로카르 법칙] 3. 휘발성 데이터와 비휘발성 데이터 4. Order of Volatill [휘발성 순위] 5. Windows 휘발성 데이터 ​ 실시간 증거 수집 및 분석 수집방법 Batch File 작성 날짜와 시간,사용자,공유 폴더,네트워크,프로세스,파일 기타 [클립보드 , command history] Hash ​ 실시간 대응의 중요성 전자 상거래는 시스템상에서 실시간으로 처리되며 시스템이 Down되어 있는 경우 분당 수백에서 수천 달러의 손실이 발생 ->하드디스크 이미지 획득을 위하여 시스템을 Down 시키는 것은 심각한 문제를 발생시킬 수 있음 ​ 1. 하드디스크 이미징에 있어서 많은 시간이 걸린..