170619 윈도우 시스템 분석

- 데이터 수집 (전원 On/Off)

- 수집된 데이터 조사/분석

- 분석 보고서 작성 

1. 라이브 데이터 수집

- 시스템 전원 on일때 수집

- 활성 데이터, 메모리, 비활성 데이터 수집.

2. 라이브 데이터 증거 능력 

: 어떤식으로든 메모리를 건들게 되서 무결성을 해침 , 최근 클라우드 시스템의 데이터 수집문제

- 증거 능력 논란 여지

- 증거 능력 연구나 절차 부족

3. 라이브 데이터 수집 활용성

- 짧은 시간안에 필요한 정보는 최대한 수집 

- 이미징 작업 전에 분석 방향 제시 가능 

4. 라이브 데이터 수집 시 고려사항

“접촉하는 두 물체간에는 반드시 흔적이 남는다”

-로카르드 교환 법칙(Locard’s exchange principle)-

- 시스템 흔적 최소화

- GUI보다는 CLI 커맨드 창에서 하는것이 흔적을 덜 남긴다

- 수집대상 명령어보다 사전 준비된 명령어 사용 

: sys32 하위에 내장명령어가 들어 있는데, 거기에 악성코드로 바꿔져있을 우려가 있으므로 미리 준비된 명령어를 사용하는것이 좋다. 

- 스크립트에 대한 로그 수집 (수집시간, 종료시간, 경로 등) 

- 다양한 환경에서 테스트(Win XP , Win 7, Win 10...)

: 각각 운영체제마다 경로등의 차이가 있으므로 분석방식도 운영체제의 버전별로 다르다.

5. 휘발성 데이터 

- 네트워크 정보, 프로세스 정보, 사용자 로그온 정보, 시스템 정보,클립보드 정보 등 

6. 비휘발성 데이터 

- MBR, VBR, $MFT(NTFS 에서나오는 파일중 하나), 파일시스템 로그

- 프리패치 , 링크파일, 레지스트리, 이벤트로그, 디렉토리 목록, 웹 브라우저 아티팩츠(윈도우 시스템에 나오는 특징?)