0.라이브 리스폰스(Live Response)
-시스템이 살아있는 상태(휘발성 메모리 정보가 남아있는 상태)에서 시스템을 조사하는 과정.
-같은 의미: 초기 대응(First Reponse), 사고 대응(Accident Response)
-UPS(Uninterruptible power supply): 멀티탭의 플러그를 뽑는 등의 행위로 전원이 갑자기 차단될 때
이를 감지하여 전원을 유지한 채, 설정한 사후처리를 진행.
(삐삐 소리를 낸다던가, 관리자에게 메일을 보내고 정상 종료과정을 진행한다던가)
> 정상종료될 경우, 하드 드라이브의 잠재적인 증거를 덮어쓸 위험이 존재
>>본체 뒤의 플러그를 뽑는 편이 안전!
-라이브 리스폰스 도구
>증거의 훼손을 최소화 해야 함
>> 시스템 dll의 사용을 최소화.
dll 검색 우선순위를 이용하여, system 폴더의 dll을 이용하지 않도록 설정.
-> Dynamic-Link Library Redirection 사용
:실행파일이 존재하는 디렉토리에 "실행파일이름.exe.local"을 이름으로 하는 폴더를 생성하고,
그 안에 사용할 DLL파일을 저장.
1.라이브 어퀴지션
-동작중인 컴퓨터에서 하드 드라이브의 이미지를 복사하는 것.
'Subject > Forensic' 카테고리의 다른 글
| JPG 마커, Exif (0) | 2016.09.06 |
|---|