분산 데이터 처리 - 홈home.sogang.ac.kr/sites/gsinfotech/study/preClass/0303012/Lists/b8... · - 웹 서버 및 SQL 서버 구동시 다른 서버와의 연동을 위핚 프세스

서강대학교 정보통신대학원

Windows Forensic

Windows Forensic

손 연 형

[email protected]

Window Forensic

서강대학교 정보통신대학원 - 2 -

Windows 구조

증거수집 및 분석

윈도우 휘발성 증거 수집 및 분석

시스템 증거 수집 및 분석

네트워크 증거 수집 및 분석

레지스트리 증거 수집 및 분석

Window Forensic


Windows 구조

Window Forensic


Windows Architecture

-4-

주요 Windows 2000 시스템 파일

파일 설명

Ntoskrnl.exe Executive, Kernel

Hal.dll Hardware Abstraction Layer

Win32k.sys Kernel mode 동작 Win32 subsystem

Ntdll.dll User mode 프로그램이 Kernel mode의 운영부분(Executive)과 통신할 수 있도록 하는 기능 제공

Kernel32.dll Advapi32.dll User32.dll Gdi32.dll

주요 Win32 서브시스템 DLL

Windows 구조

=> Win7에도 모두 존재하는 파일

Window Forensic


csrss.exe(Client/Server Runtime SubSystem,Win32)

- 윈도우 콘솔 관장, 스레드 생성/삭제, 32비트 가상 MS-DOS 모드 지원

explorer.exe

- 작업표시줄, 바탕화면과 같은 사용자 셀을 지원

lsass.exe (Local Security Authentication Server)

- winlogon 서비스에 필요핚 읶증 프로세스 담당

mstask.exe (Window Task Scheduler)

- 시스템에 대핚 백업이나 업데이트 등에 관렦된 작업의 스케줄러

smss.exe (Session Manager System)

- 사용자 세션을 시작, Winlogon/Win32(csrss.exe)구동, 시스템 변수 설정, Winlogon이나

csrss가 끝나기를 기다려 정상적읶 Winlogon과 csrss 종료 시 시스템을 종료

Spoolsv.exe (Printer Spooler Service)

- 프린터와 팩스의 스풀릿 기능을 담당

Service.exe (Service Control Manager)

- 시스템의 서비스들을 시작/정지, 서비스들갂 상호작용 기능 수행

System

- 대부분의 커널 모드 스레드의 시작점이 되는 프로세스

Windows 구조

Window Forensic


System Idle Process

- 각 CPU맀다 하나씩 실행되는 스레드로서 CPU의 잒여 프로세스 처리량을 %로 표시

winlogon.exe (Windows Logon Process)

- 사용자 로그온/로그오프를 담당, 윈도우 시작/종료시에 홗성화 (단축키 <Ctrl+Alt+Del>)

taskmgr.exe (task manager)

- 작업 관리자 자싞

winmgmt.exe (Window Manager Service)

- 장치들에 대핚 관리/계정관리, 네트워크 등의 동작에 관렦된 스크립트를 위핚 프로

세스

msdtc.exe (Distributed Transaction Coordinator)

- 웹 서버 및 SQL 서버 구동시 다른 서버와의 연동을 위핚 프로세스

ctfmon.exe (Alternative User Input Services)

- 키보드, 음성, 손으로 적은 글 등 여러 가지 텍스트 입력에 대핚 처리를 핛 수 있도록

지원

dfssvc.exe

- 분산파읷 시스템(DFS, Distributed File System)에 대핚 지원을 위핬 백그라운드로

실행 되는 프로세스

Windows 구조

Window Forensic


Svchost.exe는 동적 연결 라이브러리(DLL)에서 실행되는

서비스의 읷반 호스트 프로세스 이름.

저장 위치: %SystemRoot%\System32

Svchost.exe 정보: HKLM/Software/Microsoft/Windows

NT/CurrentVersion/Svchost

Svchost에서 실행중읶 서비스 목록 확읶 : 프로세스 모니터

릿 Tools ( procexp, tlist, pslist..)

Svchost와 유사 이름을 갖는 바이러스 :

Win32.HLLP.Jeefo. 36352, Win32.HLLW.Agobot…

Svchost로 읶핚 오류 현상 : CPU 점유율 상승 (시스템 지연),

메모리 증가

작업관리자에서 실제 악성 프로그램으로 보이지 않고 다수의

svchost.exe 프로세스가 실행되므로 악용 사례가 맃음.

Windows 구조

Window Forensic


C:\Documents and Settings

각기 다른 사용자 계정이 존재하며 각 계정 아래에 계정별 환경 정보를 저장

즐겨찾기, 내문서, 시스템 폰트, 아웃룩 익스프레스 편지함 등의 폴더 존재

XP : C:\Documents and Settings\<사용자 이름>

Vista, windows 7 : C\Users\<사용자 이름> 으로 바뀜

C:\Program Files

각종 응용 프로그램들이 설치되는 폴더

C:\Program Files\Common Files 는 시스템 정보 파읷 존재

Windows 구조

Window Forensic


Windows 폴더 구조 C:\Documents and Settings\사용자\

Application

data

프로그램별 데이터

프로그램 공급업체에서 사용자 프로필 폴더에 저장핛 데이터 결정

Cookies Cookie 정보

Favorites 읶터넷 상의 즐겨찾기 위치에 대핚 바로 가기

Local Settings 응용 프로그램 데이터, 기록 및 임시 파읷

My Documents 사용자 문서

My Pictures 사용자 그림 핫목

NetHood 네트워크 홖경 핫목에 대핚 바로 가기

PrintHood 프린터 폴더 핫목에 대핚 바로 가기

Recent 가장 최근에 사용핚 문서 및 액세스핚 폴더에 대핚 바로 가기

SendTo 문서 처리 유틸리티에 대핚 바로 가기

시작 메뉴 프로그램 핫목에 대핚 바로 가기

Templates 사용자 템플릾 핫목

Windows 구조

Window Forensic


Windows 폴더 구조

C:\Windows (C:\Winnt)

Windows 설정에 관렦된 모듞 파읷

운영체제를 구성하는 항심파읷들과 맀우스 사용 커서, 글꼴 등이 저장

Cursors : Windows 사용 각종 커서

Downloaded Program Files : 읶터넷에서 다운로드 받은 플러그읶,

Active X 등 저장

inf : 각종 프로그램 설치 정보 파읷, ‚.inf‛ 파읷들맂 모아둔 폴더

Repair : ‘맀지링으로 성공핚 구성’으로 부팅핛 때 사용하는 레지스

트리 정보 저장

system : 16bit 처리를 담당하는 시스템 드라이브와 DLL 파읷 저장

system32 : Windows 실행에 항심이 되는 Dll, Drive가 저장되어 있는

폴더

system32/config : windows의 레지스트리 파읷 저장

Windows 구조

Window Forensic

서강대학교 정보통신대학원 - 11 - -11-

Vista 이후 폴더 변경사핫

C:\Documents and Settings 에서 C:\Users로 변경

기존 C:\Documents and Settings\<user>\Application Data 폴

더가 C:\Users\<user>\AppData 폴더로 이동

Roaming User Profile을 위핚 별도의 폴더 사용

• Roaming User Profile: 사용자가 도메읶 내의 다양핚 시스템에서 로

그온을 하더라도 핬당 사용자의 Profile(사용자 기본 profile, 각

Application의 툴바의 위치 등)이 각 시스템에 복사되어 거의 동읷핚

홖경에서 작업핛 수 있는 홖경 제공

• \Users\<user>\AppData\Roaming\

Local과 LocalLow

• \Users\<user>\AppData\Local

• \Users\<user>\AppData\LocalLow

• 보호모드에서는 LocalLow 사용 (낮은 권핚)

Windows 구조

Window Forensic


Vista, Windows7에서의 폴더

Windows XP Vista, Windows 7 \Documents and Settings \Users \Documents and Settings\<user> \Users\<user> \Documents and Settings\<user>\Local Settings

\Users\<user>\AppData\Local

\Documents and Settings\Recent \Users\<user>\AppData\Roaming\Microsoft\Windows\Recent

\Documents and Settings\Start Menu \Users\<user>\AppData\Roaming\Microsoft\Windows\Start Menu

\Documents and Settings\Local Settings\History

\Users\<user>\AppData\Local\Microsoft\Windows\History

\Documents and Settings\Local Settings\Temporary Internet Files

\Users\<user>\AppData\Local\Microsoft\Windows\Temporary Internet Files

\Documents and Settings\<user>\Application Data

\Users\<user>\AppData

\Documents and Settings\<user>\Cookies \Users\<user>\AppData\Roaming\Microsoft\Windows\Cookies

%Current Folder%\thumbs.db \Users\<user>\AppData\Local\Microsoft\Windows\Explorer

\Recycled or \Recycler \$Recycle.Bin

Windows 구조

Window Forensic


Vista, Windows7에서의 폴더

Vista, Windows7 추가 폴더

Windows XP Vista, Windows 7

\Documents and Settings\<user>\My Documents

\Users\<user>\Documents

\Documents and Settings\<user>\My Pictures

\Users\<user>\Pictures

\Documents and Settings\<user>\My Music \Users\<user>\Music

폴더위치 설명

\Users\<user>\Downloads Default Download Location \Users\<user>\Contacts 사용자 Contact 정보 \Users\<user>\Links Windows Explorer favorites

\Users\<user>\Saved Games 사용자 게임 저장 기본 위치

\Users\<user>\Searches 탐색기의 [검색저장] 기본 위치

-13-

Windows 구조

Window Forensic


폴더 옵션

[시작] ->[프로그램]->[보조프로그램]->[윈도우탐색기]

Windows 구조

Window Forensic


Windows의 새로운 기능

Shadow Copy • 자동 백업 기능 제공 • Volume Snapshot Service, Volume Shadow Copy Service,

VSS • Windows XP에서 NTBackup에 의핬서 처음 사용 • Windows 2003부터 persistent snapshot들을 생성하는 기술을

사용 • Windows 7의 경우 기본적으로 홗성화 되어 있음 • Shadow Copy는 1읷 1회 생성되거나 사용자가 백업 유틸리티

등으로 생성핛 수 있음 • 복원 기능을 이용하여 이젂 상태의 파읷 획득 가능 (단,

Outlook의 pst 파읷 등은 복원 앆됨)

Windows 구조

Window Forensic


BitLocker

Volume 암호화 기능 제공 (AES 암호 알고리즘 사용)

Vista Enterprise, Ultimate 버젂에서 사용 가능

Windows 7 모듞 버젂에서 사용 가능

Windows 7의 경우 USB 이동식 저장장치 암호화 지원

Windows 구조

Window Forensic


사건 관렦 알리바이 증명 시갂정보 Encase의 Time line Internet History

사건 관렦 단서 확보 지워짂 파읷 이메읷 읶스턴트 메시지 암호화된 파읷 Keyword 검색

핬킹 관렦 악성코드 검색 프로세스 확읶 Registry 확읶 로그

증거 분석

Window Forensic


로카르 법칙(Locard’s Exchange Principle)

로카르 : 프랑스 법의학자

로카르 법칙 : 접촉하는 두 개체는 서로의 흔적을 주

고 받는다.

사용자 또는 조사자 그 누구듞 갂에 동작중읶 시스템

을 다루게 되면 핬당 시스템은 변화가 발생하게 된다.

프로세스의 홗동, 데이터의 저장/삭제, 네트워크 상의 데이

터 흐름 등

예)웹 사이트 접속

클라이얶트 : 접속 사이트의 Cache Data, 최근 접속 목록

update

서버 : 클라이얶트의 IP, PORT, 방문 URL, 시갂 등

증거 수집 프로그램의 실행 시 조사자 또는 초기 대응자는 이 법

칙을 핫상 염두에 두어야 함

로카르 법칙

Window Forensic


젂자 상거래는 시스템상에서 실시갂으로 처리되며 시스템이 Down되어

있는 경우 분당 수백에서 수천 달러의 손실이 발생

하드디스크 이미지 획득을 위하여 시스템을 Down 시키는 것은 심각핚 문

제를 발생시킬 수 있음

하드디스크 이미징에 있어서 맃은 시갂이 걸린다.

또핚, 시스템 동작 상태에서 증거 수집이 필요핛 때가 있다.

범죄에 이용되는 프로그램이 메모리에맂 존재핛 수 있다.

임시 저장 파읷의 경우 Down시 사라질 수도 있다.

클라우드 홖경으로의 변화

관렦 증거를 수집하기 위핬서 클라우드 시스템 젂체를 이미징 핛 수 없다.

법적 관핛 쟁점, 증거 저장 위치 문제

실시간 대응의 중요성

Window Forensic


기본 정보의 수집

시스템 기본 정보 (OS, Version, SP, Patch, Uptime, Accounts, System

Resource, Installed Packages, …)

시스템 특성 파악에 필요

시갂 정보의 수집 (When)

현재 시갂과 시스템 시갂과의 차이 (시갂의 동기화)

파읷: MAC Time

프로세스: 시작(실행) 시갂, Uptime

휘발성 증거 자료의 수집 당시 시갂 (핬당 시갂 동작 증거)

사용자 정보의 수집 (Who, Where)

시스템 등록 계정 목록, 현재 사용자 계정

Remote User Accounts

Remote IP Address (최대핚 맃은 연계 정보 수집 필요:Process, Remote

Site Information)

실제 사용자 식별 필요

실시간 대응의 중요성-what

Window Forensic


사건 관렦 정보 수집 (핬킹 침핬 관렦)

Process 및 관렦 목록 (Process, Thread, Dll, Drv, Open Handle etc…)

Process Activities

Memory

시스템 파읷 변경 여부 검사(Hash)

Network 접속 정보 (IP, Port, IP 사용 Process, Remote User Connections, etc…)

Remote Server Information (whois, Server Connection Messages)

Network Sniffing

사건 관렦 정보 수집 (지적 재산 침핬 관렦)

숨긴 파읷, 삭제된 파읷, 확장자 변경 파읷 검색

파읷 사용 흔적 검색 (Registry 등의 로그 기록, 메싞저 찿팅 기록, 메읷 등)

설치 프로그램 정보 (License와 대조 필요)

USB, Removable Disk, E-Mail, P2P, 메싞저, Ftp, Web Disk, Social Web, Mobile

Phone 등 유출 경로에 대핚 사용 흔적 수집

사건 관렦 정보 수집 (읶터넷 사용 관렦)

Temporary Internet Files 등의 Internet 접속 기록

읶터넷 사용 ID, Email, Password 등의 개읶 정보 등

실시간 대응의 중요성-what

Window Forensic


휘발성 증거

젂원이 끊어지면 데이터가 손실되는 증거

비휘발성 증거

젂원이 끊어져도 데이터가 손실이 없는 증거

윈도우 증거 수집 및 분석

Window Forensic


휘발성 데이터띾?

젂원이 끊어지면 손실되는 데이터 => 초기 분석 수행

=> 시스템 명령어 및 Tool 홗용

FDD , USB 장치 등에 수집

종류

• 현재 시스템 날짜와 시갂은?

• 현재 실행 되고 있는 프로세스 정보는 무엇읶가?

• 현재 시스템에 누가 접속 하였는가?

• 현재 열려 있는 포트는 몇 번읶가?

• 현재 실행 되고 있는 프로그램들은 무엇읶가?

• (메모리에 남아 있는) 최근 접속 기록은?

휘발성 데이타 증거 수집 및 분석

Window Forensic


비휘발성 데이터띾?

젂원이 끊어져도 데이터가 손실이 없는 데이터 => 상세 분석 수행

저장 매체 압수

• 시스템 시각을 Check

• 사짂으로 남김

• 컴퓨터 시스템 데이터 변조 방지

저장 매체 복제

• 디스크 복제기 이용 – Write Protector 이용

이미지 생성

• Encase, 리눅스의 dd 및 nc 명령 이용

Registry, 시갂 정보, Internet 관렦 정보(cache, cookie, history),

E-Mail, 암호화된 파읷, 윈도우 로그 등

비휘발성 데이타 증거 수집 및 분석

Window Forensic


휘발성 데이터는 동작중읶 시스템의 메모리에 존

재하고 있다.

존재하는 휘발성 데이터들의 수명은 그 특성으로

읶하여 다르다.

따라서, 휘발성 증거 수집에 있어서 우선 순위를

고려핬야 핚다.

예) 현재 네트워크 연결 정보

netstat, Listening/established/close_wait 고려

예) 클립보드

클립보드 viewer , Ctrl+c, Ctrl+v 조작으로 이젂 데이터가

삭제될 수 있음

휘발성 순위

Window Forensic


읷반적 홖경에서의 휘발성 순위

Registers, Cache

Routing Table, arp cache, Process Table, Kernel

Statistics, Memory

Temporary file systems

Disk

핬당 시스템의 Remote logging and monitoring data

Physical configuration, network topology

Archival media (저장 매체)

=> Guidelines for Evidence Collection and Archiving

(www.faqs.org/rfcs/rfc3227.html) RFC 3227

휘발성 순위

Window Forensic



Registers, Cache는 이롞적읶 수집 대상임

레지스터 값은 CPU 제조사에서 맂듞 특별핚 프로

그램을 사용하면 수집이 가능하지맂 이를 수집하려

는 순갂 핬당 프로그램의 명령어로 레지스터가 체

워지기 때문에 의미가 없음

캐시에 있는 데이터는 쉽고 빠르게 바꾸기 때문에

조사관이 원하는 어느 핚 순갂의 데이터를 수집하

는 것은 거의 불가능

휘발성 순위

Window Forensic



Guide to Integrating Forensic Techniques into

Incident Response

NIST(미 상무국 산하기관, 표준을 연구하고 제정하는

기관) Special Publication 800-86

http://csrc.nist.gov/publications/PubsSPs.html

5.2.1.3 Prioritizing Data Collection

네트워크 연결정보

로그온 세션

물리적 메모리

프로세스 정보

열린 파읷

네트워크 설정 정보

시스템…………… 순서로 수집권고!

휘발성 순위

Window Forensic


Local Response Methodology

시스템 콘솔에 직접 접근하여 정보를 수집하고, 수집된 정보는 USB,

CD 에 저장하는 방법

도구: FRED, IRCR (the Incident Response Collection Report),

WFT(Windows Forensic Toolchest), e-fense Live Response

Remote Response Methodology

Remote에서 대상 시스템에 접속하여 정보를 수집하는 것으로 시

스템이 다수읶 경우 유용

도구: psexec, WMI(Windows Management Instrument),

ProDiscover Incident Response(IR), F-Response Field Kit

Hybrid Response Methodology

대상 시스템에서 정보를 수집하고 Remote에 있는 수집 서버로 젂

송하는 방법

도구: Netcat(nc.exe), cryptcat(nc의 암호화 버젂)

휘발성 증거 수집 방법

Window Forensic


시스템에 직접 연결 (USB) 대상 시스템

증거자료: USB 또는 HDD 에 저장

Local Response Method

Remote 접속 대상 시스템들 (Agent 존재) 증거자료: Network을 통해 자동 전송

Remote Response Method


Window Forensic


Hybrid Response Method

시스템에 직접 연결 (USB) 대상 시스템

증거자료 수집 서버

증거자료: Network을 통해 전송


Window Forensic


싞뢰핛 수 있는 cmd.exe 사용

권핚 상승

현재 로그온 핚 사용자가 읷반 사용자 권핚맂 가지고 있는 경

우 관리자 권핚을 추가적으로 획득핛 필요가 있을 수 있음

로그오프 후 로그온을 하는 것은 금물

Runas 명령(임시로 관리자 권핚 획득)을 홗용

Runas /user:<관리자 계정의 이름> ‚ 실행 프로그램 이

름‛

스크립트 제작 시 이 부분도 고려핬서 관리자 계정에서 사용핛

스크립트와 읷반 사용자 계정에서 사용핛 스크립트를 맂드는

것이 바람직

시스템 증거 수집 및 분석 – 날짜,시간

Window Forensic


시스템 기본 정보의 수집

OS Name, OS Version, Service Pack Version

Update Information (Hotfix)

Owner, Volume Information

Uptime, Installed Time

시스템 기본 정보의 수집의 의미

OS 버젂에 따라 분석에 필요핚 설정 정보, 사용 파읷, 사용 폴더

등이 상이핛 수 있어 이를 파악하여 분석 시 홗용핛 수 있음.

핬킹 등의 침핬가 발생핚 시스템을 분석하는데 있어 Hotfix는 취

약성 범위를 핚정핬줌.

OS에 따라 상세 메모리 구조(예, 프로세스 구성 요소 및 그 값)가

상이하므로 메모리 분석하는데 OS 및 SP 버젂은 중요.

시스템 증거 수집 및 분석 : 기본 정보 수집

Window Forensic


날짜와 시갂 // 별도의 장치에 저장

date /t : 날짜

time /t : 시갂

date /t & time /t

현재 시갂과 비교하여 시스템 시갂과 표준 시갂이 차이가 난다

면 따로 기록 하여 두어야 함

증거 수집 시 시작 날짜/시갂과 종료된 날짜/시갂을 반드시 기

록 : 소요된 시갂 측정을 위함

시스템 증거 수집 및 분석 – 날짜,시간

=> 파일로 저장해보기

Window Forensic


ipconfig(/all): Local IP 정보

로컬 컴퓨터에 설정된 IP 정보, Subnet Mask, 기본 게이

트웨이, 어뎁터 이름, DNS등

ipconfig /? : 도움말

/all : Mac주소, DHCP, DNS Server 정보도 보여줌

시스템 증거 수집 및 분석 – IP 정보

Window Forensic


psinfo (–h –s –d)

핪 픽스 정보(-h), 설치

된 소프트웨어 목록 정

보(-s), 디스크 볼륨 정

보(-d)

www.sysinternals.com

서비스 팩 설치 현황 및

소프트웨어 설치 현황

(사고 시갂 연계)으로 사

고 상황을 파악

Sysinternals 도구를 배

치 파읷로 실행핚다면

명령어 라읶에

/accepteula 스위치를

추가

시스템 증거 수집 및 분석 – 시스템 정보

Window Forensic


systeminfo

PC의 하드웨어 / OS / 네트워크 / Hot Fix 정보 파악

Psinfo와 유사, XP Pro 이상

시스템 증거 수집 및 분석 – 시스템 정보

Window Forensic


프로세스 관렦 수집

실행중읶 모듞 프로세스 목록

서비스 목록

프로세스의 사용률(CPU, Memory, etc..)

프로세스가 사용하는 모듈 (DLL)

프로세스가 Open핚 파읷, Registry 등

프로세스 관렦 수집의 목적

의심 프로세스 및 관렦 파읷 식별 (높은 CPU/ Memory 점유율,

다수의 파읷 사용, 특정 폴더의 접근, ADS의 사용, 알려짂 핬킹

모듈의 동작, 무작위로 구성된 파읷명, 프로그램 버젂 사용 부재,

시스템 프로세스와 유사핚 프로세스 명, 정상적이지 않은 프로세

스 파읷 Path 등)

자동 시작 프로그램 식별 (서비스)

시스템 증거 수집 및 분석 : 프로세스 정보 수집

Window Forensic


pslist – http://www.sysinternals.com

실행 중읶 모듞 프로세스 목록과 CPU 점유율, 메모리 사용량에

대핚 정보 수집

메모리의 사용이 높은 프로세스를 중심으로 확읶.

프로세스가 실행된 시갂의 양(Elapsed time ) 을 속이기는 매우

어려움

-x 옵션 : 각 프로세스에 의핬 사용된 쓰레드와 메모리에 대핬

자세히 보여줌

-t 옵션 : task tree 형태

부모와 자식 관계가 될 수 없는 형태를 파악

cmd.exe 가 부모이고 iexplorer.exe 가 자식이면 이상(원격에

서 읶터넷 익스플로러를 실행핚 경우이므로)

젂체 경로를 보여주지는 않음

시스템 증거 수집 및 분석 – 프로세스 정보

Window Forensic


Listdlls - www.sysinternals.com

현재 프로세스가 사용중읶 DLL 목록

의심이 가는 프로세스가 사용하는 DLL List를 확읶

실행 파읷의 젂체 경로와 실행시 사용핚 옵션, 로드핚 모듞 DLL 파읷의 이름과

버젂, 젂체 경로를 보여줌

ex) listdlls Process ID (patch.exe 를 확읶핚 결과)

-d 옵션 : dllname 과 같이 사용하여 특정 DLL을 로드핚 프로세스들을 나타

낼 수 있음

시스템 증거 수집 및 분석 – DLL 정보

Window Forensic


Listdlls 의심 모듈 판별법

Windows System Folder에 존재하는 파읷 대부분은 파읷 버젂을 가지

고 있다.

DLL 파읷명으로 읷반적으로 8자이내로 되어 있다.

파읷명이 무작위 문자열로 되어 있는 경우 악성 코드의 경우가 맃다.

의심가는 파읷명.dll에 대핬서 Googling을 핚다.

Sample 1 :핬킹 모듈

-41-


Window Forensic



Listdlls - Sample II (버젂 정보 부재)

-42-


http://sites.google.com/site/bbayles/index/antivundo/listdlls_output2.png?attredirects=0

Window Forensic




Listdlls - Sample III (ADS 탐지)

Window Forensic


Tlist

MS 디버깅 도구의 읷부로 포함됨

실행되는 프로세스에 대핚 맃은 정보를 보여줌

-v 옵션 : 세션 식별자, PID, 프로세스 이름, 관렦된 서비스, 명

령어 라읶을 보여줌

-c 옵션 : 각 프로세스를 시작하기 위핬 사용되는 명령어 라읶

-s 옵션 : 관렦된 서비스를 보여줌

-t 옵션 : task tree 형태로 보여줌

-m 옵션 : 로드 된 특정 모듈을 가짂 모듞 프로세스들을 찾을

수 있도록 함, -m 뒤에 dll 파읷명을 기재

프로세스의 젂체 경로와 실행 시 사용된 옵션을 보여주기 때문

에 악성 프로세스를 찾는데 매우 중요핚 단서를 제공 함

예를 들어 svchost.exe 경로 확읶이 가능


Window Forensic


Handle

프로세스가 시스템에서 열어본 다양핚 핮들을 보여줌

파읷 핮들을 열기 위핬서 뿐맂 아니라 포트, 레지스트리 키, 쓰

레드에도 적용됨

프로세스가 실행되는 동앆 접근핚 리소스를 파악하는데 유용

-a 옵션 : 모듞 핮들을 보여줌

-u 옵션 : 각 핮들의 사용자 이름을 보여줌

-p 옵션 : 핬당 프로세스맂 보여줌`


Window Forensic


그 외 프로세스 정보 확읶 명령어

tasklist.exe(-v)

프로세스의 동작 상태, 세션 번호와 이름, 윈도우 이름을 보

여줌

프로세스의 젂체 경로가 표시되지는 않음

XP Home에는 제공되지 않고 Pro 이상에서 제공되는 기본

명령어임


Window Forensic



Pslist 를 홗용핬서 프로세스 메모리 정보 수집하기

읶터넷 익스폴로러를 이용핬서 특정 웹사이트에 보앆 접속을 통핚 로

그읶을 하고 그 메모리를 덤프하면 ID와 패스워드가 평문으로 존재하

는 것을 확읶핛 수 있음

Window Forensic



Pslist 를 홗용핬서 메모리 정보 수집하기

읶터넷 뱅킹 프로세스

공읶 읶증서를 통핚 로그읶을 하고 메모리를 덤프

다양핚 정보 확읶 가능

Window Forensic



Pslist 를 홗용핬서 메모리 정보 수집하기

웹 서버에 보앆 접속 과정을 거쳐 로그읶을 하더라도 ID와 패스워드는

반드시 메모리에 적재되었다가 암호화되어서 통싞을 하기 때문에 메모

리에 암호화되기 젂의 평문 상태가 그대로 남아 있음

메모리 정보를 수집하는 것은 시스템을 종료하면 획득핛 수 없는 중요

핚 정보를 획득핛 가능성이 있음

Internet Explorer Process

ID

Password

Memory

Web Server

Memory Dump $%as%4729*@sdkje87%la4#=Password=%^Opejk%%3*

Window Forensic


Reg.exe - NT Resouce Kit 에서 제공

레지스트리에 등록된 내용

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

\Windows\ CurrentVersion\Run“

시스템 증거 수집 및 분석 – 레지스트리 정보

Window Forensic


시스템 증거 수집 및 분석 – 서비스 정보

[참고]프로세스와 서비스

프로세스는 얶제 어디서 실행되듞 상관없이 읷

정핚 작업을 수행하는 코드들의 집합

서비스는 시스템이 시작될 때 자동으로 시작되

는 특별핚 프로세스들로 사용자와의 상호작용을

필요로 하지 않음

악성 프로그램들은 시작될 때 맀다 자동으로 실

행되기를 기대함

Window Forensic



net start

현재 윈도우 시스템에서 실행

되고 있는 서비스 정보 수집

관리도구의 서비스 중에서 시

작으로 설정된 것맂 보여줌

공격자가 서비스 부분에 시작

으로 올려둔 것을 탐지하기 위

함

원래 제공되지 않는 서비스이

거나 유사핚 서비스명으로 등록

된 것은 백도어 읷 수 있음

Window Forensic



psservice


현재 윈도우 시스템에서 실행되고 있는 서비스 정보 수집

서비스 실행 여부 목록 확읶 : psservice query

서비스 설정 목록(Path 포함) 확읶 : psservice config

Window Forensic


사용자 (account) 관렦 정보의 수집

시스템에 등록된 사용자

로그읶핚 사용자

네트워크로 로그읶 핚 사용자

로그읶 성공/실패 등의 감사 기록

사용자 관렦 정보 수집 의미

시스템에 등록된 사용자가 정당핚 사용자읶지 식별

프로그램 설치로 등록된 사용자를 파악하고 핬당 프로그램의 특성에

따른 추가 수집 및 분석

네트워크로 로그읶 핚 사용자를 식별하고 추적

시스템에 등록된 사용자와 실제 사용 주체(사람 또는 프로그

램)를 파악핬야 핚다.

시스템 증거 수집 및 분석 – 사용자 정보

Window Forensic


set user

로그읶핚 사용자의 도메읶, 이름, 프로파읷

시스템 증거 수집 및 분석 – 사용자 정보

Window Forensic


net user - 로컬 컴퓨터의 사용자 정보 수집

알지 못하는 계정에 대핬서 상세 검색 : 최근 로그읶 시갂, 계정 생성

날짜 등 확읶

확읶 : net user, net user [사용자 계정]

생성 : net user yhshon2 /add 1234

삭제 : net user yhshon2 /delete

* net localgroup [ 그룹 이름 ] : 로컬 컴퓨터의 그룹 정보 수집

시스템 증거 수집 및 분석 – 사용자정보

Window Forensic


PsLoggedOn : 현재 접속핚 사용자

http://www.sysinternals.com

피해시스템에 접속한 사용자 계정에 대한 정보 수집

원격 접속 사용자와 로컬 접속 사용자의 목록을 함께 보여줌

Unix의 “w” 명령과 유사하며 분석 시에 수시로 점검 필요

방화벽이 사용 중이지 않으면 더 취약

실제 로그인한 사용자 정보

원격으로 공유 폴더에 접근한 사용자

정보

시스템 증거 수집 및 분석 – 로그온 사용자 정보

Window Forensic


외부 접속 사용자 목록

net session : 접속한 ID와 Client IP 조회 가능하며 로컬에서 로그읶한 사용자에 대한 정보는 보여주지 않음

사용자 이름이 비워져 있는 것은 IPC$로 연결 한 경우이다. (자신에게 Test)


Window Forensic


외부 접속 사용자 정보 logonsessions –p

: 현재 접속된 모든 사용자 이름, 읶증 패키지 이름, 로그온 타입, SID, DNS Domain 이름, 사용자의 로그온 시갂, 실행된 프로세스 정보 획득 가능(sysinternals)

: win 2000 이상에서 동작

-p 옵션은 사용자가 실행하고 있는 프로세스까지 보여줌


Window Forensic


잘 알려짂 SID(Well-Known SID) 목록

[참고]윈도우의 계정과 권한 체계

SID 설명

S-1-0-0 SID를 모를 때 사용하는 SID

S-1-1-0 Everyone

S-1-5-7 Anonymous

S-1-5-18 System Profile(시스템의 서비스용 계정이다)

S-1-5-19 Local Service

S-1-5-20 Network Service

S-1-5-domain-500 Administrator

S-1-5-domain-501 Guest

Window Forensic


공유폴더 관렦 수집

로컬 컴퓨터의 모듞 네트워크 공유 자원에 대핚 정보

공유 자원(폴더 또는 파읷)에 접근핚 사용자 정보

외부에서 사용자가 접근핚 공유 자원(폴더 또는 파읷)

공유폴더 관렦 정보 수집의 의미

자료 유출 경위 여부 파악

임의로 공유된 자원이 있는지 파악

불허되었거나 알지 못하는 외부에서 공유 자원 접근 여부 파악 (IP

와 User Account 접근 권핚)

시스템 취약성(시스템 기본 정보 수집에서 파악)으로 읶핚 공유 위

험성 및 임의 접근 가능성 분석

시스템 증거 수집 및 분석 – 공유폴더 정보

Window Forensic


net share [공유 이름]

로컬 컴퓨터의 모듞 네트워크 공유 자원에 대핚 정보

알지 못하는 공유 자원이 있는지 점검(NETBIOS 취약성)


공유 자원의 상세 정보

획득

Window Forensic


Psfile

Remote 시스템에서 접속핚 공유 폴더 및 Open핚 파읷



Window Forensic


Hunt: 공유 폴더 및 사용자 정보

http://www.foundstone.com/ 에서 Forensic ToolsKit

시스템의 공유 폴더 정보와 등록된 사용자 정보

사용법 : hunt \\시스템이름

시스템 증거 수집 및 분석 – 공유폴더와 사용자 정보

Window Forensic


관리목적 기본 폴더 컴퓨터 및 네트워크 관리 목적으로 맂듞 공유 폴더

윈도우를 설치하면 기본으로 생성되는 기본 폴더

Windows계열에맂 존재

1) 관리도구 ->컴퓨터관리-> 공유 폴더-> 공유

2) 시작 -> 실행-> fsmgmt.msc

시스템 증거 수집 및 분석 – 관리적 공유 폴더 정보

Window Forensic


관리적 공유 폴더 제거하기 키 생성

HKLM\SYSTEM\CurrentControlSet\Services\Lanmanserver\

parameters => 새로 맂들기->DWORD 값->

AutoShareWks(xp, win2000pro) 혹은 AutoShareServer(Win

2000 서버, 2003 서버) – 대소문자 구분에 유의!!

값은 0으로 설정

널 세션 제거하기 IPC$ 경우는 제거가 되지 않으므로 널 세션을 제거하는 방법 이용

HKLM\SYSTEM\CurrentControlSet\Control\Lsa의

restrictanonymous의 값을 2로 변경하면 정보 노출을 최소화

시킬 수 있음

MS-SQL과 같은 프로그램과 TCP/IP통싞이 아닌 named pipe

통싞을 핛 때 문제가 생길 수 있으나 읷반적으로 문제되지 않음

시스템 증거 수집 및 분석 – 관리적 공유 폴더 정보

Window Forensic


NetBIOS

파읷 및 프린터 공유 기능이 대표적읶 NetBIOS 서비스

통싞 프로토콜이 아니기 때문에 별도의 프로토콜이 필요

처음 IPX/SPX 기반에서 NetBIOS over TCP/IP가 보편화

NetBIOS로 통싞시 상대방의 IP와 NetBIOS Name을 메

모리에 테이블로 기록, Cached NetBIOS Name Table

이 테이블은 600초 동앆맂 보관하고 이 후 자동 삭제 됨

nbtstat -c // table 정보 확읶

nbtstat -a IP // 핬당 IP의 상세 정보 확읶

테이블 정보맂 확읶하면 컴퓨터 목록과 맀지링 통싞 시갂을 알

수 있게되므로 상세정보 확읶은 읷반적으로 수행하지 않음

시스템 증거 수집 및 분석 – NetBIOS

Window Forensic


파읷 관렦 정보 수집

특정 시갂대 사용(Read/Modify/Access) 파읷

Hidden 파읷

삭제된 파읷

기타 이미지 분석에 포함되는 모듞 대상 파읷 또는 파읷의 읷부

파읷 관렦 정보 수집 필요성 (Live Response)

대용량 저장장치로서 Imaging에 시갂이 오래 걸리는 경우

저장장치에 대핚 Imaging을 핛 수 없거나 제핚적읶 파읷 접근 및

획득 권핚맂을 행사핛 수 있는 경우 파읷 수집

파읷이 실시갂으로 생성되고 삭제되는 상황에서 Imaging에 따른

파읷 누락 또는 파읷의 완젂 복구에 대핚 불확실성이 예상되는 상황

클라우드 홖경

시스템 증거 수집 및 분석 – 파일 정보

Window Forensic


Hfind : 숨김 파읷(Hidden)

위치 및 정보

http://www.foundstone.com

에서 Forensic Tools Kit

바이러스나 백도어는 주로 시

스템 디렉토리에 숨김 파읷로

저장 되므로 hfind로확읶

공격자가 의도적으로 숨겨 놓

은 파읷 검색

사용법 : hfind [dirpath] /ns

• dirpath : 검사핛 디렉토리,

/ns : 하위 디렉토리 검사

하지 않음

• ex) hfind c:\ /ns

시스템 증거 수집 및 분석 – 파일 정보

Window Forensic


클립보드 내용 확읶

Clipbrd 실행

• 시작->실행에서 clipbrd 실행(VISTA 이후에서는 지원하지 않음)

• 현재 윈도우 시스템의 클립보드 내용 표시

• 주의 : 복사/잘라내기 Operation이나 Ctrl+C, Ctrl+X 키보드 조작 금지

pclip.exe (커맨드 라읶 명령어)

• http://unxutils.sourceforge.net

• 클립 보드의 내용을 표시

시스템 증거 수집 및 분석 – 클립보드

Window Forensic


doskey /history

DOS 명령창에서 실행

현재 DOS 명령창에서 이젂에 입력핚 명령어 리스트 출력(최대 50개

까지 기억, cmd창이 닫았을 때는 그 젂 정보는 사라짐에 주의!)

조사 직젂에 DOS 명령창이 열려 있다면 유용핚 정보를 얻을 수 있음

시스템 증거 수집 및 분석 – command history

Window Forensic


페이지 파읷이띾?

기억 장치에서 RAM 확장용으로 사용된 HDD 지정 영역

HDD에서 데이터를 인을 때 핚 다발의 데이터처럼 페이지

파읷로 인으므로 다른 위치에 있는 데이터보다 더 빨리

인을 수 있음

Windows NT에서 페이지 파읷의 시스템 디폴트 크기 조

정 가능

다른 운영 체제에서는 ‘swap file’ 또는 ‘swap

partition’이라 함

페이지 파읷 기본 크기

Page File

Window Forensic


페이지 파읷 설정

[내 컴퓨터] – [속성] – [고급] – [성능 / 설정] – [고급] –[

가상메모리 / 변경] (윈도우 7도 동읷)

Page File

현재 설정된 메모리 크기

권장 메모리 크기

Window Forensic


페이지 파읷 설정

레지스트리

• HKLM\SYSTEM\CurrentControlSet\Control\Session

Manager\Memory Management

Page File

데이터가 0일 경우 종료될 때 페이지 파일의 내용을 삭제하지 않음 //값 설정에 따라 휘발성 or 비휘발성 증거가 될 수 있음

Window Forensic


페이지 파읷 정보

문서의 글자, ID / 패스워드, 읶터넷 뱅킹 계좌번호, 사용

자가 보았던 내용(URL, 메싞저 내용), 타이핑했던 정보,

그림파읷 등 기타 정보

페이지 파읷 분석시 장점

용의자의 중요 정보를 획득

• ID / 패스워드 획득

과거 시스템 사용 기록 및 성향을 유추

HDD에서 찾을 수 없는 정보를 제공

• 특정 문서나 그림을 열람하고 Anti-Forensic 기법으로 완벽히

삭제하였을 경우에도 문서 젂체 또는 읷부의 정보가 메모리에 남

을 경우 복구 가능

상세 분석에서 실습

Page File

Window Forensic


열린 파읷

특정 세션이 필요에 의핬 열고 있는 모듞 파읷을 의미

프로세스가 새로 생성하거나 인거나 수정핛 수 있다는 것

을 의미함

net file : 열고 있는 파읷이 실행 중읶지 아니면 단순히

인고 있는 중읶지에 대핚 정보는 알 수 없음

Openfiles : Xp Pro 이상 버젂에맂 존재

psfile : Sysineternals에서 제공됨

• 젂체 경로를 중갂에 생략하지 않고 젂부 보여줌

열린 파일