Post

침해사고분석 실습 3

Posted Updated
By many
2 min read

환경 구축

FTK Imager 설치

  • https://go.exterro.com/l/43312/2023-05-03/fc4b78

Redline 설치

  • https://fireeye.market/apps/211364

dumpit 설치

디스크 이미지 덤프

FTK Imager 실습

  • 가상 윈도우에서 디스크 분할로 용량이 작은 디스크 분할
  • 해당 공간에 텍스트 파일 생성후 완전히 삭제
  • FTK Imager 이미지 덤프로 해당 공간 logical dump
  • 다른 드라이브에 덤프한 이미지 저장 (덤프하는 공간으로 하면 안됨)
  • image mounting으로 저장한 파일 마운트
  • add evidence item 으로 마운트 한 이미지 열기

  • 삭제한 파일을 찾아서 추출하여 보면 복원되는 것 확인

  • root 폴더에 $MFT 파일을 추출하여 다운로드 폴더에 저장
  • 보기 -> 옵션 -> 보기 -> 보호된 운영체제 파일 숨기기 해제
  • https://kkoha.tistory.com/entry/analyzeMFT-204 에서 분석 도구 설치
  • cmd 관리자 권한으로 실행 후 다운로드 폴더로 이동
  • analyzeMFT.exe -f $MFT -o result.csv -lp 명령어 실행
  • result.csv 열어서 분석

메모리 덤프

FTK Imager 실습

  • 메모리 덤프하여 파일로 저장 (.RAW)
  • add evidence item 으로 결과 파일 열기
  • ping 99.99.99.99 확인

Dumpit 실습

  • ping 99.99.99.99 -t 실행
  • Dumpit.exe 파일 관리자 권한으로 실행 (.MEM)
  • FTK Imager에서 add evidence item으로 결과파일 열기
  • ping 99.99.99.99 확인

Redline 실습

  • Redline 폴더 생성
  • Redline 실행 후 경로를 생성한 폴더로 설정
  • 폴더에 생성된 runredlineaudit.bat 파일 관리자 권한으로 실행
  • 세션 폴더내에 생성된 mans 파일 더블 클릭
  • 수집한 내용으로 분석한 결과 확인
정보보안, 침해사고분석
IT Security