애들 대리고 여기저기 가까운데만 다녔는데도 힘드네요..이놈의 저질체력...
오늘은 DB포렌식입니다.
DB증거자료의 추출 절차는
1. 운영체제 및 DB종류 및 설정 정보 확인
2. DB 접속 후 Memory, User, Resources등의 휘발성 정보 추출
3. DB 서버 압수 할 경우 DB shutdown 후 O/S 종료
4. 목적자료만 추출 할 경우 DB or 운영체제상 명령어 이용 자료의 추출 및 복사
5. DB운영자,개발자 있을 경우 DB설계 개념, 사용 목적 및 방법, 추가 백업데이터
여부조사
6. 추출된 데이터 베이스 복사본 or 저장 증거 파일의 해쉬값 계산,기록,확인 후 보관
DB증거 자료 추출시 고려 상황
l 대형범죄 아닌경우 시레 규모 큰 site에서 DB 전체 복제하는 일이 적음
è 저장 용량, 시간, 개인정보나 회사 기밀 정보의 유출등 문제점 있음
l 정보 추출 시 우선 ERD나 스키마 받아서 DB구조 분석
l DB구조 파악 후 query 날려 필요한 부분만 덤프 뜨는 형식을 취함
l 덤프 받은 자료를 담당자 확인 후 압수(목록 작성 날인)
è 보통 압수과정에서 수사관 참여 하에 담당자가 직접 DB 덤프 or 담당자 입회 하에
.수사관직접 추출
l 기업체가 크고 중요한 DB가 많은 경우 수사관 실수로 치명적 결과 가져올 가능성
à Dump도중 DB나 테이블 삭제 or DB다운
è DB 관리자가 직접 필요 내용 추출하는 방법 많이 사용
DB 증거 자료 분석 절차
- 추출된 데이터베이스 복사본 및 증거파일의 해쉬 값을 생성하고 추출 시 작성된 문서의
기재된 값과 비교
- 휘발성 정보 획득 했을 경우, memory, process, file등의 자원 사용을 분석하여 사용
됐던 기능 및 상황 파악
- DB 증거에 맞는 O/S 및 DB프로그ㅐㄻ을 구축하고 증거 파일을 복사 및 복제
- DB접속 프로그램 및 로그 분석 프로그램을 사용하여 자료구조, 자료 관계, 접속자,
사용내역, 자료 복구등을 목적에 맞게 실행하고 증거 획득
- DB 분석의 분석자, 분석 과정, 분석 결과 등의 세부 사항을 기록
그렇다면 언제 DB Snapshot을 작성해야 하는가….
l DB에 대한공격 or 훼손이 발견 되었을 즉시
l 일정 횟수 이상의 DB 트랜젝션이 시행 되었을 때
l 일정시간 (매일,매주,매월 등..)
l 일정 횟수 이상의 DB 사용자 로그인/로그아웃
l 기타 시스템과 운영자 필요시
그럼 DB 포렌식의 주요 증거 자료 항목은 어떤것들이 있는가..
l 휘발성 DB Connection & Session 정보
l DB 전체 or 특정 DB
l DB Table 전체 또는 특정 Table 또는 특정 레코드
l Meta 정보 DB 또는 Meta 정보 Table
l DB 자체 Log
l System Log
l Application Log
위의 증거 자료들중 수집 우선 순위는??
1. DB Server connections & Session
2. TranSaction Log
3. DB Server Log
4. DB Server Files
5. System Event Log
기타 DB 보안 설정 및 SQL Injection, 기타 로그 위치등은 많은 자료가 잇으므로 생략 합니다. 포렌식 자격시험에서는 DB쪽에서 SQL Injection의 흔적을 알 수 잇는 증거내용 이런게 있었는거 같습니다..
이정도로 DB에 대한 내용은 마무리합니다.
다음에는 network 관련 내용으로 포스팅 이어 갑니다.
토욜까지 포스팅 못할듯하고..늦어도 월욜까지는 포스팅 하도록 하겠습니다.
'업무 > 보안' 카테고리의 다른 글
메신저 사기인듯... (0) | 2009.05.12 |
---|---|
포렌식 - 네트워크포렌식 (0) | 2009.05.11 |
포렌식 - 리눅스 포렌식 2 (0) | 2009.04.29 |
포렌식 - 리눅스 포렌식 1 (0) | 2009.04.27 |
포렌식 - 윈도우 포렌식2 (0) | 2009.04.23 |