2021. 4. 19. 18:32ㆍ디지털포렌식
활성 데이터?
실행중인 프로세스, 연결 중인 네트워크, 현재 로그인 중인 사용자
현재 시스템 시소스 상황, 현재 전송 중인 패킷, 클립보드에 저장된 데이터, 메모리 등
시스템 전원이 켜져있고 살아있는 상태의 데이터를 말함.
휘발성 민감도/중요도에 따른 수집순서
물리메모리가 가장중요. 모든 활성 메모리가 저장되는 곳이 메모리 이기때문.
활성메모리를 수집하기위한 분석도구/스크립트 - BITLIVE_WIN
관리자 권한으로 cmd를 실행하고 BITLIVE_win.bat이 저장된 위치에서
BITLIVE_win.bat 스크립트를 실행해준다.
스크립트 중 일부, 다음의 형태로 스크립트가 동작하며 활성 데이터를 수집한다.
수집 행위에 대해 출력, 로깅, 수집명령어를 파일로 리다이렉션
스크립트를 실행시키면 먼저 프리패치 파일을 수집하게 되는데
프리패치파일이란 실행파일을 실행시켰을 때 참조하는 파일을 모아서 만든 파일이고
도구를 실행시키면 많은 실행파일들이 실행되므로 기존의 프리패치들이 밀려서 날아갈 수 있기떄문에
도구에서 먼저 수집하게된다.
스크립트 동작이 끝난후 비활성 데이터에 프리패치 파일이 수집되어있다.
원래 수집대상이였던 휘발성 데이터 들도 잘 수집되어있다.
스크립트를 열어서 확인해본 결과와 마찬가지로 txt 파일에 스크립트 명령어를 수행한 결과가
저장되어있음을 알수있음.
스크립트 도구의 문제점 - 실행파일을 많이 실행시키므로 현재
시스템 활성상태를 훼손할 수도있음
그래서 이러한 활성데이터를 수집할 때에 메모리도 꼭 같이 수집하여야 한다.
맨위 스크린샷 물리메모리 수집 y 옵션 선택
또다른 단점
스크립트 실행시에 오류에 대한 제어나 로깅을 제대로 할수없는 단점,
명령의 실행만 가능
-> 오류에대한 예외처리된 프로그램을 만들어서 해결해야함.
하지만 빠른 업무수행, 오픈소스 등의 장점이 있다.
'디지털포렌식' 카테고리의 다른 글
| 파일시스템의 이해 3(MFT) (0) | 2021.05.09 |
|---|---|
| 파일시스템의 이해 2(VBR) (0) | 2021.05.08 |
| 파일시스템의 이해 1(MBR) (0) | 2021.05.08 |
| 비활성데이터 수집/분석 (0) | 2021.04.19 |
| 파일카빙(winhex활용) (0) | 2021.04.19 |