Tag Archives: 포랜식

Volatility 사용법 – Windows 메모리 포랜식 분석

Volatility – 메모리 분석 Volatility는 Volatile Systems https://www.volatilesystems.com/default/volatility 회사에서 공개한 메모리 덤프 분석 도구이다. 사고 머신의 메모리 덤프를 편리하게 분석할 수 있는 도구 중 이만큼 확장성과 유연성을 겸비 도구를 찾아보기 어려울 만큼 상당한 분석력을 자랑한다. Volatility는 파이션(Vbscript와 함께 분석가들이 많이 사용하는 스크립트 언어, http://www.python.org)으로 개발된 도구로, 현재 2.0 버전까지 존재하며, 윈도우7까지 지원한다. 본 도구은 파이션을

Read More

사이버 공격(침해사고)의 포렌식 분석을 위한 데이터 수집 – 휘발성 데이터

사이버 공격(침해사고)의 데이터 수집 – 휘발성 데이터 부분 시스템 데이터 수집 항목을 분리하자면, 휘발성 데이터와 비휘발성 데이터로 나눌 수 있다. 휘발성 데이터는 전원이 꺼지거나 시스템이 재시작되면 사라지는 데이터이다. 휘발성 데이터의 수집은 시스템 역분석에서 매우 중요하다. 문제 해결의 핵심 단서로, 사건으로 따지면 범죄 현장과 같다. 만약 이 범죄 현장을 훼손하거나 현장을 변경한다면 범죄수사는 어떻게 될까?? 필히

Read More

포랜식 증거 확보/분석을 위한 데이터 수집 도구

포랜식 데이터 수집 도구 Tool 아래 툴들을 간편하게 받을 수 있도록 수집하여 압축하였습니다. Psinfo: http://technet.microsoft.com/en-us/sysinternals/bb897550, 시스템 정보 확인 PsLoggedon: http://technet.microsoft.com/en-us/sysinternals/bb897545, 로그인 사용자 정보 확인 Logonsessions: http://technet.microsoft.com/en-us/sysinternals/bb896769, 로그인 사용자 정보 확인 Tlist: Windbg(http://www.microsoft.com/download/en/details.aspx?id=19879) 기본 내장, 실행 프로세스 확인 Pslist: http://technet.microsoft.com/en-us/sysinternals/bb896682 실행 프로세스 확인 Psservice: http://technet.microsoft.com/en-us/sysinternals/bb897542 실행 서비스 확인 Handle: http://technet.microsoft.com/en-us/sysinternals/bb896655 실행 핸들 리스트 확인 ListDll: http://technet.microsoft.com/en-us/sysinternals/bb896656 실행중인 DLL 리스트 확인 Sigcheck: http://technet.microsoft.com/en-us/sysinternals/bb897441 시스템 파일 시그니처 검사 pclip: http://unxutils.sourceforge.net/

Read More