ํด๋น ๊ฐ์๋ฅผ ์๊ฐํ๋ฉฐ ์ ๋ฆฌํ ๋ด์ฉ์ ๋๋ค.
[๋ฌด๋ฃ] ๊ธฐ์ด๋ถํฐ ๋ฐ๋ผํ๋ ๋์งํธํฌ๋ ์ - ์ธํ๋ฐ | ๊ฐ์
๊ธฐ์ด๋ถํฐ ๋ฐ๋ผํ๋ ๋์งํธํฌ๋ ์ ๊ฐ์์ ๋๋ค. ๊ฐ์๋ฅผ ๋ฐ๋ผํ๋ค๋ณด๋ฉด "๋ฌผ ํ๋ฅด๋ฏ, ์์ฐ์ค๋ฝ๊ฒ" ์ค๋ ฅ์ด ๋์ด๊ฐ๋ ๊ฐ์๋ฅผ ์ถ๊ตฌํฉ๋๋ค., ์ด๋ณด์ ๋๋์ด์ ๋ฑ ๋ง์ถ, ์๋ฆฌ๋ฅผ ์ดํดํ๋ ๋์งํธํฌ๋ ์ ์
www.inflearn.com
๊ฐ์ ์งํ ์ ์ค๋น ์ฌํญ
- C ๋๋ผ์ด๋ธ ์ด์ธ์ D, E ๋๋ผ์ด๋ธ ๋ฑ ์ถ๊ฐ ๋๋ผ์ด๋ธ๊ฐ ์กด์ฌํด์ผ ํจ
- ์ถ๊ฐ ๋๋ผ์ด๋ธ๊ฐ ์๋ค๋ฉด, USB๊ฐ 1๊ฐ ์ด์ ์กด์ฌํด์ผ ํจ
ํด๋น ๊ฐ์์์๋ ์ปดํจํฐ, ๋์คํฌ, ๋ฉ๋ชจ๋ฆฌ๋ฅผ ๋ค๋ฃฐ ๊ฒ! (ํฌ๋ ์์์ ๊ธฐ์ ์ ์ธ ๋ถ๋ถ๋ง)
- ์ค์ต์ ํ์ํ 7zip, Everthing, notepad++, HxD, FTK Imager ์ด๋ฏธ ์ค์น๋ ์ํ์์ ์์
- sysinternals suite, Autopsy ์ถ๊ฐ ์ค์น
- HxD : ํ์ผ์ hex๊ฐ์ ๋ณผ ๋ ์ฌ์ฉํจ. ๊ฒ์๊ธฐ๋ฅ ๋ฑ ๋ค์ํ ๊ธฐ๋ฅ์ด ์์
- Everything: ํฌ๋ ์ ๋๊ตฌ๋ ์๋์ง๋ง, ์ปดํจํฐ ์ ์ฒด ์์์ ํ์ผ์ ๋น ๋ฅด๊ฒ ์ฐพ์ ์ ์๋๋ก ํ์ผ์ ์์น๋ฅผ ์ฐพ์์ฃผ๋ ๋๊ตฌ (์ฐ๊บผ๊ธฐ ํ์ผ๊น์ง ๊ฒ์ ๊ฐ๋ฅ)
- 7zip: ์์ถํด์ ํ๋ก๊ทธ๋จ, 7z ๋ฑ ๋ค๋ฅธ ํด์ ํ๋ก๊ทธ๋จ์ผ๋ก ๋ชป ํธ๋ ํ์ผ๋ค์ ํ ์ ์์ (๋ฐ๋์ง๋ ์๋๋ฐ ๋ฐ๋์ง์ ๊ด๊ณ ๊ฐ๋ง์ <- ์ด๊ฑฐ ์ค์ ๋ก ๊ฐ๋ฅ๊ตฌ๋ฆผ ๋ด๊ฐ ์ค์ ๋ก ์จ๋ณด๊ณ ๋ด ๋ ธํธ๋ถ์ด ๊ทธ๋ฅ ๊ด๊ณ ๋ก ๋ฒ๋ฒ ๋จ)
- notepad++: ์ฌ๋ฌ๊ฐ์ง ํ์ผ์ ํ ๋ฒ์ ๋ณผ ์ ์๊ณ , ์ ์ฒดํ์ผ์ ๋ํด์ ๊ฒ์๋ ํ ์ ์๊ธฐ ๋๋ฌธ์ ํธํจ
- sysinternals suite: ๋๊ตฌ๋ค์ ๋ชจ์
- ์์ฃผ ์ฐ๋ ๋๊ตฌ๋ค (strings, procexcp, procmon)์ด ํฌํจ๋์ด ์์
- ์นจํด์ฌ๊ณ ๋ถ์ํ ๋ ์์ฃผ ์ฌ์ฉํ ์์
- FTK Imager: ๋์คํฌ ์ด๋ฏธ์ง ๊ด๋ฆฌ ๋๊ตฌ
- Autopsy: ๋์คํฌ ์ด๋ฏธ์ง ๊ด๋ฆฌ + ๊ฐ๋ ฅํ ์ถ๊ฐ์ ์ธ ๊ธฐ๋ฅ (์ฌ์ง์ด ๋ฌด๋ฃ์)
1. ๋์คํฌ ์ด๋ฏธ์ง
: ๋์คํฌ ์์ ๋ด์ฉ์ ํ์ผ์ ํํ๋ก ๊ฐ์ ธ์ค๋ ๊ฒ
ํด๋น ๊ฐ์์ ๋์ค๋ ์ค์ต์ ๋ฐ๋ผํ๊ธฐ ์ํด์ D ๋๋ผ์ด๋ธ๋ฅผ ๋ง๋ค์ด์ฃผ์๋ค.
[๊ฟํ] ์๋์ฐ10 D๋๋ผ์ด๋ธ ๋ง๋ค๊ธฐ [์๋์ฐ10 ๋์คํฌ ๋ถํ , ํํฐ์ ๋๋๊ธฐ]
- ์๋์ฐ10 ๋์คํฌ ๋ถํ , ํํฐ์ ๋๋๊ธฐ ์ปดํจํฐ์ C๋๋ผ์ด๋ธ ๋ฐ์ ์์ ๋, D, E, F ๋ฑ์ ์ถ๊ฐ ๋๋ผ์ด๋ธ๊ฐ ํ์ํ๋ค๋ฉด ๋์คํฌ๋ฅผ ๋ถํ ํ๋ฉด ๋๋ค. 1. ํํฐ์ ๋ถํ ํ๊ธฐ 2. ๋๋ผ์ด๋ธ ์์ฑ(ํํฐ์ ํ ๋น)
yermi.tistory.com
(1) FTK Imager ๋ค์ด๋ก๋
์ด๋ฏธ ์ค์น๋์ด ์๋ ํ์ผ์ด์ด์ ํด๋น ๊ณผ์ ์ ๋์ด๊ฐ๋ค
(2) FTK Imager ๊ด๋ฆฌ์ ๊ถํ์ผ๋ก ์คํ
(3) create image disk ํด๋ฆญ
(4) Physical Drive
(5) USB ๋๋ผ์ด๋ธ (์ฉ๋์ด ์ ์ ๊ฒ์ผ๋ก ์ ํ)
(6) Select Image Type: E01
- Raw๋ณด๋ค ์์ถ๋ ํ์ ์
(7) Evidence item information: skip
- ์ค์ ์์ฌํ ๋ ์ ๋ ฅํ๋ ๋ด์ฉ -> skip
(8) image destination folder ์ ํ, filename ์ ๋ ฅ
- ์ด๋ฏธ์ง ํ์ผ์ ์ ์ฅํ ์์น์ ์ ์ ํ ํ์ผ ์ด๋ฆ
(9) image fragment size: 0
- ์ด๋ฏธ์ง ํ์ผ์ด ํฌ๊ธฐ ๋๋ฌธ์ ์ด๋ฏธ์งํ์ผ์ ์ชผ๊ฐ์ ์ ์ฅํ ๊ฑฐ๋๋ ๊ฒ ! ์ฐ๋ฆฌ๋ ์ชผ๊ฐ์ง ์์ผ๋ฏ๋ก 0 ์ ๋ ฅ)
- finish
(10) start ํด๋ฆญ
- ์ค๋ฅ ๋ฐ์ "์ด๋ฏธ์ง์ ๋์ฐฉ์ง์ ์ด ์ด๋ฏธ์ง๋๋ ๋์คํฌ์ ์ฌ ์ ์๋ค"
์ฆ, ์ด๋ฏธ์งํ๋ ๋์คํฌ์ ์ด๋ฏธ์ง ํ์ผ์ ๋ค๋ฅธ ๋์คํฌ์ ์ ์ฅํด์ผ ํ๋ค๋ ์๋ฏธ์ด๋ค.
์๋ฅผ ๋ค๋ฉด, C๋๋ผ์ด๋ธ๋ฅผ ์ด๋ฏธ์งํ๋ฉด ์ ์ฅ ๊ฒฝ๋ก๋ D๋๋ผ์ด๋ธ๊ฐ ๋์ด์ผ ํ๋ค๋ ๊ฒ์ด๋ค.
๋๋ USB์ ์ด๋ฏธ์ง๋ฅผ ์ ์ฅํ๋ฏ๋ก, C๋๋ผ์ด๋ธ์ ํด๋น ์ด๋ฏธ์ง ํ์ผ์ ์ ์ฅํ ๊ฒ์ด๋ค.
2. ๋์คํฌ ๋ง์ดํ
: ๋์คํฌ ์ด๋ฏธ์ง๋ฅผ ๋ค์ ๋๋ผ์ด๋ธ์ฒ๋ผ ์ปดํจํฐ์ ๋ถ์ด๋ ๊ฒ
//(์ด๋ฏธ์ง ํ์ผ -> ๋๋ผ์ด๋ธ..)
(1) ์ด๋ฏธ์ง ๋ง์ดํ ํด๋ฆญ
(2) ์์ฑํ img ํ์ผ(E01) ์ ํ - ๋๋จธ์ง ํญ๋ชฉ ์๋ ์ค์ ๋จ
(3) Mount ํด๋ฆญ
- ํ์ผ ์์คํ ์ ์๋์ผ๋ก E๋๋ผ์ด๋ธ๊ฐ ์ถ๊ฐ๋ ๊ฒ์ ํ์ธํ ์ ์๋ค.
+) Evidence Item ์ถ๊ฐ
(1) Add Evidence Item ํด๋ฆญ
(2) Physical Drive ์ ํ
(3) ์๋ก ์์ฑ๋ ๊ฐ์ ์ ์ฅ์ ์ ํ
์ปดํจํฐ์ ์๋ ๋๋ผ์ด๋ธ๋ ์ด๋ฏธ์ง ํ์ผ ์ฌ์ฉ ์ ๊ตณ์ด ๋ง์ดํธ๋ฅผ ํ ํ์๋ ์์
์ด๋ฏธ์ง ํ์ผ์ ๋ถ์ํ ๋๋ ๋ง์ดํธ๊ฐ ํฌ๊ฒ ํ์ํ์ง ์์
๊ทธ๋ฌ๋, ๋ง์ดํธ๋ฅผ ํ๋ ์ด์ ๋ ์ปดํจํฐ ํด๋์์ ์ด๋ฏธ์ง ํ์ผ์ ๋๊ฐ์ด ๋ณด๊ธฐ ์ํจ์
PATH ๊ฐ ์กํ์ผ Registry ๋ถ์ ๋๊ตฌ, Web Browser ๋ถ์ ๋๊ตฌ ๋ฑ์ ์ฌ๋ฌ ๋๊ตฌ๋ค์ ์ฌ์ฉํ ์ ์๊ธฐ ๋๋ฌธ
(๋ง์ดํธ ํ๋ฉด ์ข์~)
3. ๋ฉ๋ชจ๋ฆฌ ๋คํ
: ์์คํ ์ ๋ฌผ๋ฆฌ Memory๋ฅผ File ํํ๋ก ์ ์ฅํ๋ ๋ฐฉ๋ฒ
(1) Capture Memory ํด๋ฆญ
(2) path ์ค์ , ๋๋จธ์ง๋ ๊ธฐ๋ณธ๊ฐ
(3) Capture Memory ํด๋ฆญ
- HxD์์ ํด๋น ํ์ผ ํ์ธ ๊ฐ๋ฅ
์ฐ๋ฆฌ๋ ๋ฉ๋ชจ๋ฆฌ์ ์ผ๋ถ๋ง ์ฌ์ฉํ๊ธฐ ๋๋ฌธ์ ๋ฉ๋ชจ๋ฆฌ ๋คํ๋ ์ฐ๊บผ๊ธฐ ๋ฐ์ดํฐ๊ฐ ๋ง์ (์ฉ๋์ด ๋งค์ฐ ํผ)
-> ์ธ๋ชจ์๋ ๋ฐ์ดํฐ๋ฅผ ์ฐพ๋ ๊ณผ์ ์ด ํ์ํจ
4. ์ญ์ ๋ ํ์ผ ๋ณต๊ตฌ
[root]์ ๋ค์ด๊ฐ๋ณด๋ฉด Xํ์๊ฐ ์๋ ํ์ผ์ด ์กด์ฌํจ
- ์ญ์ ๋ ํ์ผ๋ค์ X ํ์๊ฐ ๋ธ
(1) ๋ณต๊ตฌํ ํ์ผ์ ์ค๋ฅธ์ชฝ ํด๋ฆญ ํ Export Files ํด๋ฆญ
(2) Autopsy
Autopsy๋ ๋ด๋ถ์ ์ผ๋ก ์๋์ฐ ํ์ผ ์์คํ ๋ด๋ถ์ ์ํคํ ์ฒ ์ง์์ ํ๊ณ ์์
๋์คํฌ ์ด๋ฏธ์ง๋ฅผ Autopsy์ ๋ฃ๋ ๊ฒฝ์ฐ, ๋ง์ ๋ฐ์ดํฐ๋ฅผ ๋ฝ์๋ผ ์ ์์
- new case ํด๋ฆญ
- ์ํ๋ ์ด๋ฆ, ์ํ๋ ๊ฒฝ๋ก๋ก ์ค์
- Optional Information์ pass - finish
- Select Host - Generate new host name based on data source name
- Select Data Source Type - Disk Image or VM File
- Path - ์์ฑํ ์ด๋ฏธ์ง
- ์ ๋ถ next๋ฅผ ํด๋ฆญ ํ Finish
- ์ญ์ ๋ ํ์ผ์ ๋ด์ฉ์ ํ์ธํ ์ ์๋ค.
- ํ์ผ ํ์ ์ ๋ฐ๋ผ์ ๋ฐ๊ฒฌ๋ ํ์ผ๋ค์ ์ ๋ฆฌ
- DB์์ ๋ฐ๊ฒฌ๋ ํ์ผ์ ๋์ดํด์ฃผ๊ณ ๋ณผ ์๋ ์๊ฒ ํด์ค
- ๋ฌธ์ ํ์ผ๋ ๋ชจ์์ ๋ณด์ฌ์ค
* ํ๋ก๊ทธ๋จ ์ด๋ฏธ์ง๊ฐ ์ปค์ง์๋ก ์ ๋ฆฌ๊ฐ ์ค์ -> Autopsy๊ฐ ์ ์ฉํ๊ฒ ์ฌ์ฉ๋ ์ ์์
