침해사고 분석을 위한 디지털 포렌식(Digital Forensic) - 2

침해사고 분석을 위한 디지털 포렌식(digital Forensic) - 2

침해사고 분석을 위한 디지털 포렌식(digital Forensic) - 1에서 시스템에 있는 프로그램은 신뢰할 수 없다고 했다.
그럼 어떻게 해야할까? 침해사고 당한 컴퓨터를 가기전에 간단한 툴을 직접 만들어서 갈 수 있다. 이번엔 간단히 만드는 방법을 소개해보자 한다.

 먼저 필요한 프로그램이 있다. 마이크로소프트에서 지원하는 프로그램들이다. 아주 유용하다. 

PSTools.zip

위의 PSTools라는 파일을 다운 받도록 하자.

먼저 결과부터 보여주자면 이렇게 해당 컴퓨터에 대한 상세 정보가 다 나오게 된다.

live2.bat

소스파일을 보며 설명을 해보겠다.

아까전에 받은 PSTools.zip에서 Psinfo.exe, pslist.exe, PsLoggedon.exe를 사용 할 것이다. 같은 폴더에 넣어 줄 수 있도록 한다.

Line 1 :  echo off는 저장하지 않고 출력만 한다.
Line 7 : >는 출력을 파일을 새로이 만들어서 쓰게된다.
Line 8 : %COMPUTERNAME%은 컴퓨터의 이름을 출력하게 된다. 여기서 >> 는 뒤에서 이어쓰기하는 명령어이다.
Line 9 : >> %COMPUTERNAME%_result.txt는 저장할려고하는 파일의 이름을 지정해주는 것이다.
Line 14 ~ 16 : 수집하기 시작한 날짜를 출력해준다. date는 날짜고 time은 시간을 나타낸다.
Line 20 ~ 23 : 시스템에 대한 상세정보를 알려주는 것이다. 커널버전, 제품 타입 등등 또한 /accepteula라는 명령어는 흔히들 관리자 권한으로 실행하겠습니까? 라고 창이 뜨는데 그것을 CUI에서 허락한다고 하고 진행하게 되는 명령어이다. 
Line 25 ~ 29 : 시스템 네트워크 정보인 ipconfig 정보와 arp -a정보를 저장한다. 해당 컴퓨터의 인터넷 상태와 연결상태를 출력하게 된다.
Line 31 ~ 32 : 시스템에 DNS의 정보를 출력하게 된다.
Line 33 : 로컬 Hosts의 정보를 출력해준다. Hosts의 파일의 변조 여부를 파악하기 위해서
Line 37 ~ 41 : 컴퓨터에 허락되어있는 사용자 정보등을 나타내준다. 관리자가 모르는 계정이 생겼거나 권한이 왜 상승 되있는지 알 수 없는 경우를 판단할 수 있다.
Line 44 ~ 46 : 컴퓨터에서 구동되고 있는 프로세스를 출력해준다. 또한 네트워크 통신상태와 프로세스를 비교하여 어떤 프로세스가 어떤 통신상태에 있는지 파악 할 수 있게된다.
Line 49 ~ 51 : 수집이 종료된 시간을 출력하게 된다. 

간단하게 직접 컴퓨터의 상태를 출력해주는 배치파일을 만들어 보았다.
침해사고가 발생했을 때 해당 컴퓨터로 가서 이것들을 일일이 칠 수 없기때문에 사전에 USB등에 담아서 한번에 조치할 수 있게 만들어서 가면 편리하다.
이것들을 좀 더 응용하여 다양하게 사용 할 수 있을 것이다.