2. 활성 데이터 수집/분석

라이브 포렌식

시스템이 켜져있는 동안 얻을 수 있는 모든 데이터를 획득하는 것을 의미함

 

1) 라이브 포렌식 효과

• 현재 진행되고 있는 사건 및 사고에 대해 많은 데이터 획득 및 확인 가능

2) 라이브 포렌식 고려사항

• 악성코드 및 해커가 현재 동작하고 있는 데이터를 변조한 경우 신뢰성 야기
• 만일 포렌식할 대상이 해커에 의해 모니터링 당하거나 감염되어 있으면 데이터가 변조당할 경구 존재
• 대부분 기업들은 돈을 아끼기 위해 해킹을 당했을 때 먼저 분석을 하고 나서 의뢰를 하기 때문에 이미 확인할 때는 덮어씌워져있는 경우가 있어 라이브포렌식을 할 경우가 거의 없음

---

활성 데이터 종류

- 실행 중인 프로세스

- 연결 중인 네트워크

- 현재 로그인 중인 사용자

- 현재 시스템 리소스 상황

- 현재 전송 중인 패킷

- 클립보드에 저장된 데이터

- 등등

+ 메모리

 

1) 활성 데이터 수집 고려사항

악성코드가 실행되면 프로세스 형태로 존재하기 때문에 없어지거나 덮어씌어질 수 있으므로 분석도구를 실행시키면 프로세스 형태로 실행되므로 덮어씌어지는지 주의

 

+) 수집 순서에는 휘발성만 고려하면 안되고 중요도도 고려해야 하므로 조금씩 수집 순서가 상이하다.

+) 그래서 제일 중요한 정보를 많이 담고 있는 메모리를 먼저 수집

+) pcap 드라이버같이 드라이버를 설치하다가 충돌날 경우가 있어서 패킷 수집은 안하는 경우가 많으므로 방화벽 같은데에서 수집

 

+) FPLive_win_v1.1도구 사용해서 활성 데이터 수집

Resources | FORENSIC-PROOF