Hello Security World

실시간 대응 프로세스 정보 수집 프로세스 관련 수집 실행중인 모든 프로세스 목록  서비스 목록  프로세스의 사용률(CPU, Memory, etc..)  프로세스가 사용하는 모듈 (DLL)  프로세스가 Open한 파일, Registry 등 ​ 프로세스 관련 수집의 목적 의심 프로세스 및 관련 파일 식별 (높은 CPU/ Memory 점유율, 다수의 파일 사용, 특정 폴더의 접근, ADS의 사용, 알려진 해킹 모듈의 동작, 무작위로 구성된 파일명, 프로그램 버전 사용 부재, 시스템 프로세스와 유사한 프로세스 명, 정상적이지 않은 프로세스 파일 Path 등) 자동 시작 프로그램 식별 (서비스) ​ pslist – http://www.sysinternals.com  실행 중인 모든 프로세스 목록과 CPU..

실시간 증거 수집 및 분석 ​ -시스템 관련 정보-​​ 1. psinfo (–h –s –d) 핫 픽스 정보(-h), 설치된 소프트웨어 목록 정보(- s), 디스크 볼륨 정보(-d) www.sysinternals.com 서비스 팩 설치 현황 및 소프트웨어 설치 현황으 로 사고 상황을 파악한다. ​ 2. systeminfo PC의 하드웨어 / OS / 네트워크 / Hot Fix 정보 파악  Psinfo와 유사, XP Pro 이상 ​ 사용자 (account) 관련 정보의 수집 시스템에 등록된 사용자 로그인한 사용자 네트워크로 로그인 한 사용자 로그인 성공/실패 등의 감사 기록 ​ 사용자 관련 정보 수집 의미 시스템에 등록된 사용자가 정당한 사용자인지 식별 프로그램 설치로 등록된 사용자를 파악하고 해당 프로그..

실시간 대응 개요 1. 실시간 대응의 중요성 2. Locard's Exchange Principle [로카르 법칙] 3. 휘발성 데이터와 비휘발성 데이터 4. Order of Volatill [휘발성 순위] 5. Windows 휘발성 데이터 ​ 실시간 증거 수집 및 분석 수집방법 Batch File 작성 날짜와 시간,사용자,공유 폴더,네트워크,프로세스,파일 기타 [클립보드 , command history] Hash ​ 실시간 대응의 중요성 전자 상거래는 시스템상에서 실시간으로 처리되며 시스템이 Down되어 있는 경우 분당 수백에서 수천 달러의 손실이 발생 ->하드디스크 이미지 획득을 위하여 시스템을 Down 시키는 것은 심각한 문제를 발생시킬 수 있음 ​ 1. 하드디스크 이미징에 있어서 많은 시간이 걸린..

디지털 데이터 특성 ​ 1. 비가시성 2. 대량성 3. 휘발성 4. 변조가능성 5. 초국경성 6. 복제 용이성 ​ 디지털 증거의 분류 1) 비가시성 디지털 정보 자체는 사람의 육안으로 인식할 수 없음 1-1 모니터 화면에 나타내거나 프린터를 통하여 출력하는 등 일정한 변환절차를 거쳐야 비로소 가시성과 가독성 가짐 1-2 가시성, 가독성 확보 위해 변환장치, 출력장치, SW 등을 거치는 과정에서 증거의 진정성 문제 발생 1-3 디지털포렌식 전문가에 의한 증거수집 및 분석이 이루어지지 않는 경우 증거훼손 가능성 큼 ​ > 대법원은 ‘디지털 저장매체로부터 출력한 문건의 증거능력’과 관 련, “컴퓨터의 기계적 정확성, 프로그램의 신뢰성, 입력·처리·출 력의 각 단계에서 조작자의 전문적인 기술능력과 정확성 담보 ..

디지털 포렌식의 정의 ​ 디지털 포렌식 (Digital forensic) 디지털 데이터를 근거로 삼아 해당 디지럴 기기를 매 개체로 하여 발생한 특정 행위의 사실 관계를 법정에서 규명하고 증명하기 위한 절차와 방법 또는 기업에서 정보보호 도구로 사용하거나 기업의 위험관리 정책 관련 도구로 사용되는 절 차와 방법으로 정의할 수 있다. 즉 사용 주체와 이용 목적에 따라 그 정의가 조금씩 다르다 고 할 수 있다. ​ 디지털 포렌식의 방법론은 로카르드의 교환법칙’의 개념을 근간으로 하고 있으며， 디지털 포렌식의 목적은 법정에서 디지럴 매체 등이 증거로서 인정받을 수 있도록 디지털 매체와 관련 된 데이터 등을보존하고복구 분석하는것이다. 디지털증거는디지럴 포렌식 기법을이용하 여 수집된 데이터로 법정에서 증거 능력을..