Entdecken Sie das volle Potential Ihrer Projekte.
Vollbild-Modus
Map bearbeiten Kopieren

포렌식 침해사고

Ausbildung
lim taehee

forensic, CERT

Jetzt loslegen. Gratis!
oder registrieren mit Ihrer E-Mail-Adresse
Ähnliche Mindmaps Mindmap-Gliederung
포렌식 침해사고 von Mind Map: 포렌식 침해사고

1. 휘발성, 비휘발성 정보

1.1. 휘발성

1.1.1. 수집 우선순위

1.1.1.1. archival media

1.1.1.2. physical configuration, Network toplogy

1.1.1.3. Remote logging and monitoring data that is relevant to the system in question

1.1.1.4. Disk

1.1.1.5. temporary file system

1.1.1.6. Routing table, ARP cache, Process table, Kernel statistics, Memory

1.1.1.7. Registers, Cache

1.1.2. 수집프로세스

1.1.2.1. 시작

1.1.2.1.1. 전원이 켜져있는가? (<-yes)

1.2. 비휘발성

1.3. 툴

1.3.1. 휘발성

1.3.1.1. 전체 수집

1.3.1.1.1. Live Response Collection

1.3.1.2. 메모리덤프

1.3.1.2.1. 하드웨어

1.3.1.2.2. 소프트웨어

1.3.1.3. 메모리분석

1.3.1.3.1. Volatility

1.3.1.3.2. readline

1.3.1.4. 시스템 기본 정보 수집

1.3.1.4.1. systeminfo

1.3.1.4.2. wmic os get installdate, currenttimezone, serialnumber

1.3.1.5. 시스템 설정 시간

1.3.1.5.1. time /t date /t

1.3.1.6. 네트워크 연결 정보

1.3.1.6.1. netstat -nao

1.3.1.7. ps 목록

1.3.1.7.1. tlist -vcstm tasklist -v pslist

1.3.1.8. 로그온 사용자

1.3.1.8.1. net sessions psloggedon logonsessions

1.3.1.9. 로딩된 dll 목록

1.3.1.9.1. listdlls %TEXT_PROCNAME% listdlls %NUM_PID%

1.3.1.10. 핸들

1.3.1.10.1. handle -a -p %TEXT_PROCNAME% handle -a -p %NUM_PID%

1.3.1.11. 열린 파일

1.3.1.11.1. openfiles psfile net file

1.3.1.12. 열린포트, 프로세스

1.3.1.12.1. netstat -anob fport

1.3.1.13. 명령어 히스토리

1.3.1.13.1. doskey /history

1.3.1.14. 서비스 목록

1.3.1.14.1. psservice net start sc qc %TEXT_service_name%

1.3.1.15. 네트워크 카드 정보

1.3.1.15.1. ipconfig /all promiscdetect

1.3.1.16. 라우팅 테이블

1.3.1.16.1. netstat -r

1.3.1.17. 작업 스케쥴러

1.3.1.17.1. at schtasks

1.3.1.18. 클립보드

1.3.1.18.1. pclip

1.3.1.19. 네트워크 공유 목록

1.3.1.19.1. net use

1.3.1.20. 넷바이오스

1.3.1.20.1. nbstat -c

1.3.1.21. 프로세스 덤프

1.3.1.21.1. userdump %NUM_PID% %FILE_DUMP_FILE_NAME%

1.3.2. 비휘발성

1.3.2.1. 문서 파일 사용자 폴더 최근문서 shortcut 파일 복원 지점 시스템 아티팩트 ( 파일 시스템 아티펙트 레지스트리 이벤트 로그 웹브라우저 프리패치 윈도우 로그 )

1.3.2.1.1. raw copy

1.3.2.2. 분석

1.3.2.2.1. sysinternals

2. OS System

2.1. File System 구조

2.1.1. FAT16/32

2.1.2. NTFS

2.1.2.1. Volume Data

2.1.2.2. 1sector = 512 byte

2.1.2.3. 1cluster = 2048byte

2.1.2.4. 구조

2.1.2.4.1. MBR

2.1.2.4.2. MBR slack

2.1.2.4.3. VBR

2.1.2.4.4. MFT

2.1.2.4.5. Data

2.1.3. ext2/3/4

2.2. Registry

2.2.1. 정의

2.2.1.1. 윈도우 os에서 하나 이상의 사용자, 응용 프로그램 및 하드웨어 장치에 맞게 시스템을 구성하는데 필요한 정보를 저장하는 중앙 계층형 DB

2.2.2. 구성

2.2.2.1. HKEY_CLASSES_ROOT (HKCR)

2.2.2.1.1. HKLM/SOFTWARE/Classes + HKU/[SID]_Classes

2.2.2.2. HKEY_CURRENT_USER (HKCU)

2.2.2.2.1. 현재 로그인 한 사용자의 SID에 해당하는 서브키의 복사본

2.2.2.2.2. AppEvent Console Control Panel Env EUDC Identities Keyboard Layout Network Printers Software Volatile Env

2.2.2.3. HKEY_LOCAL_MACHINE (HKLM)

2.2.2.3.1. 시스템 전체에 해당되는 하드웨어와 소프트웨어의 환경설정 + 다양한 하이브 파일

2.2.2.3.2. HIVE

2.2.2.4. HKEY_USERS (HKU)

2.2.2.4.1. 모든 사용자의 프로파일과 사용자 클래스 정보를 저장하고 있다.

2.2.2.5. HKEY_CURRENT_CONFIG (HKCC)

3. 1. 대상시스템 정보 2. 로그인사용자 정보 3. 열린 파일 정보 4. 네트워크 정보 5. 프로세스 정보

3.1. 비휘발성 정보 수집

3.1.1. 종료