디지털 포렌식 2주차 스터디(1)

by 최예지

제1장 휘발성데이터 수집

휘발성 데이터 수집

💡 휘발성 데이터 : 전원의 공급이 끊기거나 시간이 흐름에 따라 자연히 저장공간에서 사라지는 데이터. 침해사고 발생시 전원이 켜져 있는 대상시스템의 경우, 휘발성 데이터에 중요한 정보인 패스워드, IP주소, 이벤트 로그, 기타관련정보 등의 내용을 포함하고 있어 이에 대한 수집 중요성이 점차 강화되고 있다.

📍 휘발성 데이터 수집시 주의사항

전원이 켜져 있는 휘발성 데이터를 수집할 때, 시스템의 휘발성 데이터가 사라지거나 훼손되지 않도록 하여야 한다. 이를 위해 RFC3227을 기준으로 휘발성 정보 수집 순서를 고려하여 데이터를 수집한다.
- RFC3227: 휘발성 정보 수집과 관련한 화이트 페이퍼로, 아래는 거기에 적힌 휘발성 정보 수집 순서이다. 해당 순서는 휘발 순서에 맞춰 적혀 있다.
  1. registers, cache
  2. routing table, arp cache, process table, kenel statistics, memory
  3. temporary file systems
  4. disk
  5. remote logging and monitoring data that is relevant to the system in question
  6. physical configuration, network topology
  7. archival media
휘발성 데이터 수집 시에는 신뢰할 수 있는 명령쉘의 이용을 통해 수집자의 실수나 부주의로 인한 손실을 방지하기 위해 수집을 자동화한다.
휘발성 데이터 수집용 미디어는 개봉하지 않은 새로운 데이터 저장용 미디어를 사용해야 한다. 미디어 개봉에 대한 내용을 동영상으로 촬영하여 무결성을 증명하며 한번 사용한 하드디스크는 와이핑(wiping)하여 사용해야 한다.

무결성이 증명된 신뢰할 만한 명령쉘을 이용해 휘발성데이터 수집 대상시스템의 날짜와 시간을 확인하고 이를 휴대폰이나 스마트폰의 시간과 비교하여 문서화한다.
- 명령 쉘에서 날짜와 시간 확인하는 명령어: C:\> date /t & time /t
수집된 휘발성 데이터에 대해 데이터의 무결성의 입증하기 위한 절차로 MD5나 SHA1 같은 해쉬함수를 이용한 해쉬값을 계산하고 이를 문서화한다.

📍 휘발성데이터 수집 프로세스

전원이 켜져 있는지 확인 후 켜져 있다면 휘발성 데이터 수집을 시작한다.

(켜져 있지 않다면 바로 비휘발성 정보 수집에 도입한다.) 2. 메모리 이미지 획득이 필요하다면, 메모리 이미지 수집부터 진행한다. 3. 대상시스템 정보 → 로그인 사용자 정보 → 열린 파일 정보 → 네트워크 정보 → 프로세스 정보 순으로 휘발성 데이터를 수집한다. 4. 휘발성 데이터를 모두 수집했다면, 비휘발성 정보 수집 후 종료한다.

물리적 메모리 획득

물리적 메모리 수집에 사용할 수 있는 도구는 다양하다. 그러나 도구에 따라 그 특성이 다르고 동작하는 운영체제에 제한이 있을 수도 있다.

다음은 휘발성 데이터 수집 관련 도구이다:

FastDump Pro
- 32비트와 64비트 컴퓨터 시스템에 대한 메모리 수집이 모두 가능하고 RAM은 64GB까지 수집할 수 있다.
- 관리자 권한 하에 메모리 덤프와 함께 페이지 파일도 수집할 수 있다.
  
  → C:> FDPro.exe memdump.dd
Dumplt
- 윈도우 XP 이상에서 실행 가능하며 x86(32bit)과 x64(64bit) 머신에서 모두 정상적으로 작동한다.
- 사용법은 명령어 C:\> Dumplt.exe 를 실행 후 "Are you sure you want to continue? [y/n]"에서 "y"키를 타이핑하면 누구나 쉽게 메모리를 이미징할 수 있다. 단, 관리자 권한으로 실행한다.

Machine Learning(Harvard) Classification study

디지털 포렌식 2주차 스터디(2)