'db'에 해당되는 글 1건

  1. 2009.05.07 포렌식 - DB포렌식

5/4 연차 휴가 사용으로 5월초 황금연휴(?)가 되었네요..덕분에 포스팅이 또..^^;

애들 대리고 여기저기 가까운데만 다녔는데도 힘드네요..이놈의 저질체력...

 

오늘은 DB포렌식입니다.

 

DB증거자료의 추출 절차는

 

1.     운영체제 및 DB종류 및 설정 정보 확인

2.     DB 접속 후 Memory, User, Resources등의 휘발성 정보 추출

3.     DB 서버 압수 할 경우 DB shutdown O/S 종료

4.     목적자료만 추출 할 경우 DB or 운영체제상 명령어 이용 자료의 추출 및 복사

5.     DB운영자,개발자 있을 경우 DB설계 개념, 사용 목적 및 방법, 추가 백업데이터

여부조사

6.     추출된 데이터 베이스 복사본 or 저장 증거 파일의 해쉬값 계산,기록,확인 후 보관

 

DB증거 자료 추출시 고려 상황

l  대형범죄 아닌경우 시레 규모 큰 site에서 DB 전체 복제하는 일이 적음

è 저장 용량, 시간, 개인정보나 회사 기밀 정보의 유출등 문제점 있음

l  정보 추출 시 우선 ERD나 스키마 받아서 DB구조 분석

l  DB구조 파악 후 query 날려 필요한 부분만 덤프 뜨는 형식을 취함

l  덤프 받은 자료를 담당자 확인 후 압수(목록 작성 날인)

è 보통 압수과정에서 수사관 참여 하에 담당자가 직접 DB 덤프 or 담당자 입회 하에

.수사관직접 추출

l  기업체가 크고 중요한 DB가 많은 경우 수사관 실수로 치명적 결과 가져올 가능성

à Dump도중 DB나 테이블 삭제 or DB다운

è DB 관리자가 직접 필요 내용 추출하는 방법 많이 사용

 

DB 증거 자료 분석 절차

- 추출된 데이터베이스 복사본 및 증거파일의 해쉬 값을 생성하고 추출 시 작성된 문서의

기재된 값과 비교

- 휘발성 정보 획득 했을 경우, memory, process, file등의 자원 사용을 분석하여 사용

됐던 기능 및 상황 파악

- DB 증거에 맞는 O/S DB프로그ㅐㄻ을 구축하고 증거 파일을 복사 및 복제

- DB접속 프로그램 및 로그 분석 프로그램을 사용하여 자료구조, 자료 관계, 접속자,

사용내역, 자료 복구등을 목적에 맞게 실행하고 증거 획득

- DB 분석의 분석자, 분석 과정, 분석 결과 등의 세부 사항을 기록

 

그렇다면 언제 DB Snapshot을 작성해야 하는가….

l  DB에 대한공격 or 훼손이 발견 되었을 즉시

l  일정 횟수 이상의 DB 트랜젝션이 시행 되었을 때

l  일정시간 (매일,매주,매월 등..)

l  일정 횟수 이상의 DB 사용자 로그인/로그아웃

l  기타 시스템과 운영자 필요시

 

그럼 DB 포렌식의 주요 증거 자료 항목은 어떤것들이 있는가..

l  휘발성 DB Connection & Session 정보

l  DB 전체 or 특정 DB

l  DB Table 전체 또는 특정 Table 또는 특정 레코드

l  Meta 정보 DB 또는 Meta 정보 Table

l  DB 자체 Log

l  System Log

l  Application Log

 

위의 증거 자료들중 수집 우선 순위는??

 

1.     DB Server connections & Session

2.     TranSaction Log

3.     DB Server Log

4.     DB Server Files

5.     System Event Log

 

기타 DB 보안 설정 및 SQL Injection, 기타 로그 위치등은 많은 자료가 잇으므로 생략 합니다. 포렌식 자격시험에서는 DB쪽에서 SQL Injection의 흔적을 알 수 잇는 증거내용 이런게 있었는거 같습니다..

 

이정도로 DB에 대한 내용은 마무리합니다.

다음에는 network 관련 내용으로 포스팅 이어 갑니다.

토욜까지 포스팅 못할듯하고..늦어도 월욜까지는 포스팅 하도록 하겠습니다.

 

'업무 > 보안' 카테고리의 다른 글

메신저 사기인듯...  (0) 2009.05.12
포렌식 - 네트워크포렌식  (0) 2009.05.11
포렌식 - 리눅스 포렌식 2  (0) 2009.04.29
포렌식 - 리눅스 포렌식 1  (0) 2009.04.27
포렌식 - 윈도우 포렌식2  (0) 2009.04.23
Posted by ^________________^
,