[디지털포렌식전문가 2급 필기] 4-6-2. 데이터베이스 증거 수집&분석 절차

오라클 데이터베이스 포렌식에서 증거 획득을 위하여 검토해야 할 항목

- TNS (Transparent Network Substrate) 로그

- 트레이스 (Trace) 파일

- Sysdba Audit 로그

오라클 포렌식에서 리스너 로그 파일 분석을 통하여 알 수 있는 것

- 접속한 날짜와 시간

- 접속한 컴퓨터 이름과 계정

- 접속한 IP 주소와 포트 번호

로그 분석 절차

- 데이터베이스 로그를 확인

- 트랜잭션 로그의 위치 및 트랜잭션 로그를 확인

- 시스템 로그(에러 로그)의 위치 및 시스템 로그(에러 로그)를 확인

데이터베이스 증거 수집 방법 절차

1. 데이터베이스 서버 동작 여부 확인

2. 데이터베이스 인스턴스 동작 여부 확인

3. 휘발성 자료를 데이터베이스 종류별로 나누어 증거 수집

4. 수집된 증거물 목록 생성

5. 증거물 포장 또는 확보

데이터베이스 포렌식의 주요 증거 항목

- 데이터베이스 내용 및 메타데이터

- DB 서버 램에 존재하는 캐쉬 정보

- 데이터베이스 시스템 내의 트랜잭션 (Transactions)

오라클 포렌식 분석 시 시간 관련 증거에 대한 정확성을 확보하기 위하여 함께 검토해야 할 자료

- Listener Log

- Sqlnet Log

- Sysdba Trace

회사의 데이터베이스관리자는 원격으로 회사의 MSSQL 서버에 접속하여 혐의와 관련된 테이블을 drop 한 후 동일 명칭과 속성을 갖는 빈 테이블을 재생성해놓음.현장에서 바로 조치해야 할 사항은?

- 전체 테이블에 대한 생성 시간을 조회하여 삭제하고 재생성한 테이블들을 특정

- 동 시간대의 트랜잭션 로그를 확보한 후 이를 통하여 삭제 테이블을 특정

- 응용 프로그램 로그, 데이터베이스 서버 로그, 네트워크 로그를 확보하여 불법 접근자에 대한 추적에 들어감

오라클 서버 분석을 위하여 수집하는 파일의 종류와 설명

- .dbf : 데이터 파일

- .log : REDO 로그파일

- .ctl : 컨트롤 파일

데이터베이스 내의 증거를 수집하기 위하여 각각의 DBMS 별로 백업받기 위한 명령어

- MSSQL - exp

- ORACLE - backup database

- SYBASE - imp

오라클 데이터베이스에서 관련된 파일들에 대한 설명

- redo 로그 파일은 데이터베이스에 가해지는 모든 트랜잭션(수정사항) 

- .dbf 파일에는 데이터베이스의 실제 contents 및 인덱스까지 통합되어 있음

- archive mode로 운영되었다면 archive log도 백업해야 함

데이터베이스 포렌식 증거 자료 수집에서 우선 순위가 가장 높은 것

- 접속한 사용자의 IP와 수행 중인 SQL문

가동 중인 데이터베이스 서버 시스템의 증거 분석용 자료를 백업하려고 할 때 필요성이 가장 적은 것

- 데이터베이스 공유 라이브러리 및 실행 파일