2019-01-08
Live Response
= Live Evidence Aquisition휘발성 정보(증거) 수집
- 메모리 덤프
- 프로세스 목록 및 객체 정보 확보
- 소켓 정보 확보
- 임시디렉토리 내용 확보
○ 출력 결과 저장
외장 USB Memory/HDD에 저장원격 컴퓨터에 전송
○ 외장 USB Memory/HDD에 저장
-결과를 저장할 저장장치를 연결-실행할명령 > 결과를저장할파일이름
예) netstat -nr > e:\result.txt
○ 원격 컴퓨터에 전송(NetCat.exe)
-조사자 컴퓨터에서 nc.exe를 서버모드로 작동시킨다.예) nc -l -p 10005
-조사대상 컴퓨터에서 포렌식툴을 실행시킨다.
예) 실행할명령 | nc 서버IP주소 포트번호
netstat -nr | nc 192.168.1.1 10005
[ nc.exe가 있는 경로로 들어가서 nc -l -p 10000 ( loop, port port number) ]
연결
연결됨
○ 로카르드 교환법칙(Locard's exchange Principle)
○ 물리 메모리 덤프
tool; windd, mdd, dumppit
윈도우는 별도의 도구를 사용해야함
[ 사용한 내역 서치 ]
○ 시스템 시간 정보
time /t 내장
date /t 내장
○ 기본 네트워크 정보
ipconfig /all
○ Socket 정보
- 실행중인 서비스 확인
- TCP 연결 정보 확인
netstat -ano 내장
IceSword 다운로드
○ Routing Table
- 라우팅 테이블 변조 유무 확인
netstat -nr 내장
○ route print
○ 공유 관련 정보
- 공유 내역 확인
- 공유 폴더에 접속한 기록 확인
net share 내장
net session 내장
logonsessions sysinternals
psloggedon sysinternals
net file 내장
openfiles 내장
psfile sysinternals
net use
예) net use z:
(참고) SysInternals
- 윈도우즈 관련 고급 툴을 제작하는 회사
- 마이크로소프트에 합병됨
https://docs.microsoft.com/en-us/sysinternals/
○ NBT Cache Table
(NetBIOS over TCP/IP)
nbtstat -c
[참고] LAN에서만 사용 가능하지만 TCP/IP 에 얹어서 Internet으로 넘어갈 수 있게 됨
[참고] LAN에서만 사용 가능하지만 TCP/IP 에 얹어서 Internet으로 넘어갈 수 있게 됨
\\컴퓨터이름/IP/DomainName\공유이름
○ 윈도우 객체 관련 정보
- Windows(KERNEL)-----[관리]----->HANDLE(Process/Thread)
프로세스/쓰레드
핸들
DLL
[ Process Explorer ]
사용중인 HANDLE과 그 안에서 Key 확인가능
○ Process 목록
tasklist 내장
pslist sysinternals
○ Handle 목록
handle sysinternals
[ 실행 ]
[내용이 많아서 > handle.txt에 따로 저장 ]
[ 기록 확인 ]
[ 탐색기같은 exe ]
○ DLL 목록
listdlls sysinternals
[ Listdlls6s.exe ]
○ 명령어 히스토리
doskey.exe 내장
doskey /history
○ 자동 실행 항목
서비스
레지스트리
시작프로그램 폴더
○ Service 목록
psservice sysinternals
○ Registry 자동 실행 항목
autorunsc.exe sysinternals - CLI
= autoruns.exe sysinternals - GUI
- 자동실행되는 목록 확인 가능
- 자동실행되는 목록 확인 가능
○ 예약 작업
at 내장(명령으로만 사용가능)
schtasks 내장(윈도우 예약작업)
○ 클립보드
clipbrd 내장(XP까지만)
pclip sourceforge.net/project/unxutils
[ clipboard에 저장된 내용 ]
ctrl + c
No comments:
Post a Comment