포렌식을 위한 Live Response

Live Response

• 시스템에서 휘발성 정보를 수집하는 행위
• 구동되고 있는 시스템에서 수집 가능한 모든 정보의 수집과 분석
• 대상 : 메모리, 네트워크, 프리패치 파일, 레지스트리, DLL(Dynamic Link Library), 로그파일

휘발성 정보 수집

• Guidelines for Evidence Collection and Archiving (RFC3227)
• Guide to integrating Forensic Technics into Incident Response(NIST Special Publication 800-86)

  RFC3227	NIST
  레지스터, 캐시	네트워크 연결정보
  라이팅 테이블, ARP캐시, 프로세스 테이블,  커널 사용정보, 물리적 메모리	로그온 세션
  임시파일	물리적 메모리
  디스크	프로세스 정보
  원격 로그인 모니터링 정보	열린 파일
  물리적 설정, 네트워크 구성	네트워크 설정 정보

실행파일 분석

• 간단한 실행 파일 분석 : 파일 속성정보
• 안티 바이러스 프로그램
• 문자열 조사
• 실행파일 : PE(Portable Executable File) 포맷, EXE, DLL, cpl, ocx, sys, scr, drv, vxd 등