'네트워크'에 해당되는 글 1건

  1. 2009.05.11 포렌식 - 네트워크포렌식

작성자 : 투라 (extraman@boanin.com )

편집자 : 엔시스

 

오늘은 네트웍 포렌식입니다..

타이틀은 네트웍이지만, 실질적으로 네트웍&시스템 포렌식 수업을 해서..

중복 내용이 많습니다.

 

리뷰하는 마음으로 주욱 써 내려갑니다.

 

일단 증거수집과정의 운영 지침으로..

-         가능한 모든 자료를 수집하라,

-         날짜나 시간도 포함하여 자세히 기록 한다.( 시간차 기록)

-         언제 증명(법정 출두) 해야 할 지 모르므로, 자세한 기록이 중요하다.

-         수집과정에서의 데이터 변형을 최소화

-         수집(collection) 할 것인가 분석(analysis) 할 것인가를 선택해야 한다면

수집을 먼저하라

-         휘발성이 있는 것을 먼저 진행하고 그렇지 않은 것을 나중에 진행한다.

-         프라이버시관련 법률이나 회사의 지침에 위배되지 않도록 유의한다.

 

이렇게 수집한 증거물들은 chain of custody 가 명확하게 문서화 되어야 한다.

-         언제, 어디서, 누가 증거물을 발견하였고, 수집 하였은가?

-         언제, 어디서 누가 증거물을 다루었고 검사 하였는가?

-         누가 어느 기간에 증거물을 관리했고, 저장되었는가?

-         언제 관리에 대한 변경이 일어 났고, 언제, 어떻게 이송이 되었는가?

 

증거수집을 위한 Tool 들..

-         프로세스를 검사하기 위한 프로그램 (ex> ps..)

-         시스템상태를 검사하기 위한 프로그램(ex> ifconfig. Netstat, arp..)

-         bit to bit 복사 가능한 프로그램 ( ex> dd, safeBack..)

-         체크섬이나 서명(signature)를 생성할수 있는 프로그램 ( ex> md5sum, sha1sum ..)

-         core image를 생성할수 있는 프로그램 ( ex > gcore, gdb)

-         증거 수집을 자동화 할수 있는 스크립트( ex> Ther Coroner’s tool Kit, fire…)

 

네트웍 포렌식에서 중요한 TCP/UDP Network 연결을 통해 데이터를 쓰고 읽을 수 있는

유틸리티인 Netcat에 대해 알아 본다.

 

http://netcat.sourceforge.net/

http://joncraton.org/files/nc111nt.zip

에서 리눅스와 윈도우 버전 down 가능하다.

 

조사 대상 시스템에서 dd 명령을 이용해서 파티션을 복사하고 이를 nc를 이용해서 분석할 시스템으로 전송하려면..

 

# nc –l –p 10000 > target.hdd2.dd (원격지 xxx.xxx.xxx.xxx 서버 )

# dd if=/dev/hda2 bs=1024 | nc xxx.xxx.xxx.xxx 10000 –w 3

-ㅣ ( Listen mode )

- p 10000 ( 10000 port use )

- w ( time out,  마지막 읽고 난뒤 종료할 시간 설정 )

 

Netcat 사용법은 중요하니 숙지 하시기 바랍니다.

슈퍼유저서버팀에서 작성한 netcat 사용가이드 참고 바랍니다.

 

Network 증거수집에서 다음과 같은 사항들을 고려하여 수집한다.

 

l       하드웨어와 운영체제 선택

-         OS는 리눅스계열로 불필요한 네트워크 서비스 중지하고 ,하드디스크는 증거 저장용 디스크와 os 디스크 물리적 분리, cable의 tx 부분을 자른다(제거)..

 

l       스텔스 모드(Stealth mode) 설정

-         antisniff 프로그램등의 추척 회피

 

l       네트워크 모니터링 소프트웨어 선택

-         Libpcap 기반의 프로그로토콜, snoop, iptrace등..

 

l       이벤트 모니터링

-         이벤트에 대한 룰 or 임계치 설정후 이벤트 발생시 경고 메시지 생성

 

l       네트워크 연결상태

l       동작중 프로세스 상태

l       로긴중 사용자정보

l       오픈된 파일 정보

l       스왑된 파티션 정보

l       로그파일

l       각종 운영체제 배포 CD

l       운영체제의 시스템 파일에 대한 MD5 해쉬값 및 바이너리 정보

l       백업에 필요한 충분한 디스크

 

마지막으로 말씀 드리는데요...Netcat 사용법에 대해서는 꼭 숙지 하시는게 좋습니다.

.이것으로 네트웍 포렌식도 마칩니다..

너무 대충인가여..^^;

 

다음에는 encase에 대해서 포스팅 해야하는데..

..이거 어떻게 포스팅해야할지..데모버전으로 최대한 해보도록 하죠..

 

 

 

Posted by ^________________^
,