전체 글 (638) 썸네일형 리스트형 [메모리 포렌식] GrrCON 2015 #1 문제 파일로 vmss 파일 하나가 주어집니다. vmss 파일은 가상 머신에서 일시 중지 상태 (suspend 상태)일 때의 OS 상태를 저장한 파일 확장자라고 합니다. 파일을 다운받은 뒤에, volatility 도구의 imageinfo 플러그인을 사용해서 메모리 정보를 확인하여 보겠습니다. Windows 7을 사용한 메모리라는 점을 확인할 수 있습니다. pslist 플러그인을 사용하여 현재 작동중인 프로세스를 확인하여 보았습니다. 직원들이 메일을 클릭하였다고 했으므로 OUTLOOK.EXE 프로세스가 가장 먼저 눈에 들어옵니다. 프로세스의 메모리를 dump해주는 memdump 플러그인으로 OUTLOOK.EXE 프로세스를 분석해 보겠습니다. 현재 디렉토리 (./)에 3196.dmp 파일로 저장되었습니다. 이.. [디지털포렌식전문가 2급 필기] 4-6-2. 데이터베이스 증거 수집&분석 절차 오라클 데이터베이스 포렌식에서 증거 획득을 위하여 검토해야 할 항목 - TNS (Transparent Network Substrate) 로그 - 트레이스 (Trace) 파일 - Sysdba Audit 로그 오라클 포렌식에서 리스너 로그 파일 분석을 통하여 알 수 있는 것 - 접속한 날짜와 시간 - 접속한 컴퓨터 이름과 계정 - 접속한 IP 주소와 포트 번호 로그 분석 절차 - 데이터베이스 로그를 확인 - 트랜잭션 로그의 위치 및 트랜잭션 로그를 확인 - 시스템 로그(에러 로그)의 위치 및 시스템 로그(에러 로그)를 확인 데이터베이스 증거 수집 방법 절차 1. 데이터베이스 서버 동작 여부 확인 2. 데이터베이스 인스턴스 동작 여부 확인 3. 휘발성 자료를 데이터베이스 종류별로 나누어 증거 수집 4. 수집된.. [디지털포렌식전문가 2급 필기] 4-6-1. 데이터베이스 서버 환경 데이터베이스를 압수하는 과정에서 데이터베이스 서버 환경에 따라 조사관이 주의해야 하는 항목 - 쿼리문을 통하여 나온 결과는 간단하게 작업할 수 있는 방법으로 엑셀 파일 형태로 기록하여 분석하는 것도 가능 [디지털포렌식전문가 2급 필기] 4-5-3. 회복 기법 백업 파일 - 데이터베이스 관리 시스템에서 하드 디스크 장애가 발생한 경우 데이터베이스의 무결성 보장을 위하여 가장 먼저 사용하는 파일 [디지털포렌식전문가 2급 필기] 4-5-2. 회복 (Recovery) - 이전 1 ··· 89 90 91 92 93 94 95 ··· 128 다음
