728x90
반응형
<실습-1 : 성인 포렌식 케이스>
- 조사대상 PC : WinXp 가상머신
- 사건 개요
- 가해자가 피해자 협박을 위해 피해자의 사진을 찍어 보관했다.
- 가해자는 wiping으로 증거자료를 모두 삭제한 상태이다.
- 목적
- 수사관으로서 가해자가 삭제한 증거자료를 모두 복구하시오.
- 분석 시 참고사항
- Thumbnail(썸네일) file 기능 이용 (폴더 구성 및 옵션에서 숨기기 기능, 확장자 표시 등)
- WFA를 이용해 Thumb 파일 불러오기
- 분석
- 초기 분석 : 주로 시간이 지남에 따라 사라지기 쉬운 정보와 라이브 시스템에서만 획득할 수있는 정보를 수집&분석
- 상세 분석 (Windows 피해 시스템) : 초기 분석 외 추가적인 분석 시 결국 파일 시스템을 분석해야하며, 구체적이어야 함
- 숨겨진 공격 흔적 분석
#숨기는 방법
1) 파일 속성 attrib 숨기기 : Attrib
2) 파일 스트림(stream)으로 숨기기 : sfind, streams, LNS, Access Data FTK
3) rouge 파일 숨기기(md5 체크값 비교로 검사) : rouge파일이란 정상파일처럼 위장하는 불법 파일
4) 웹 서비스로 프로그램 숨기기 : 웹 디렉터리에 관련된 디렉터리에 악성프로그램 설치
5) 불량 섹터나 슬랙 공간에 숨기기 : 디스크 분석 제품 사용(Seagate, Maxtor, Samsung)
6) NT 루트킷 기능 : 프로세스 감추기, 파일 및 파일 내의 특정 내용 감추기
레지스트리 키 및 레지스트리 값 감추기
소켓 통신 감추기(로컬 및 원격 시스템 주소 포트 등)
스니핑 및 시스템 제어 등
7) NT 커널모드 루트키 동작원리 : 실행 경로 변경 (Hxdef, Fhook, Dropper, Deof 루트킷)
서비스 후킹, DLL 후킹, 직접 코드 수정, 함수 포인터 변경
데이터 구조 변경(fu, Dhookapi 루트킷)
프로세스 더블 링크 리스트
#자동실행 설정 분석
1) .ini 파일 점검 : 윈도우 NT 이상에서는 16비트 Dos 모드에서 사용하기 위한 환경파일이다. ex) win.ini, system.ini 등
2) 레지스트리 점검 : reg, regdump로 특정 레지스트리 추출
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE
HKEY_CLASSES_ROOT
HKEY_CURRENT_CONFIG
3) 서비스 시작 점검 - sclist (윈도우 리소스킷)
#타임라인 분석
1) Wininterrogate 로 타임라인을 작성해서 비교
#삭제된 파일 분석
1) 휴지통 폴더 분석 : Rifiuti
2) 파일 복구 (Undelete, GetDataBack, File Recover)
#메모리덤프 분석
1) 메모리 종류 : 완전한 메모리 덤프(시스템 물리적 메모리 전체)
커널 메모리 덤프(커널 메모리 영역)
작은 메모리(64kb)
-> Windbg, pmdump (프로세스별 메모리덤프)
#임시저장 파일 분석
1) 임시 인터넷 개체: %SystemRoot%\Download Program Files
2) 임시 인터넷 파일 : %USERPROFILE%Local Setting\Temporary Internet Files
3) 열어본 페이지 링크 : %USERPROFILE%Local Settings\History
4) 임시 캐시 파일 : %USERPROFILE%Local Settings\Temporary Internet Files\Content.IE5
반응형
'DFIR' 카테고리의 다른 글
| 네트워크 포렌식 강의 메모정리 (0) | 2020.06.03 |
|---|---|
| google 브라우저 사용자 정보 (작성중) (0) | 2020.04.07 |
| FireEye NX 이벤트 분석 예시 (0) | 2019.02.08 |
| Volatility를 이용한 메모리 포렌식 (0) | 2018.02.14 |
| [윈도우 포렌식 실전 가이드] 2장 소프트웨어 덤프 (0) | 2017.07.03 |