디지털 포렌식 : : 활성 데이터 개념 & 수집 실습

1. 활성 데이터란 ? 

 증거를 수집할때 전원이 꺼진 기기를 수집하는 경우도 있지만 전원이 켜진 기기를 수집하는 경우도 있다.

이때 전원이 켜진 기기의 물리메모리(RAM)는 휘발성 메모리를 갖고 있다. 

이 데이터는 사건을 해결하는데 중요한 역할을 할 수 있는데 이러한 데이터를 활성 데이터라고 한다. 

이러한 활성 데이터 수집관 관련된 활동을 라이브 포렌식이라 한다.

2. 활성 데이터 종류

 - 실행 중인 프로세스

 - 연결 중인 프로세스

 - 현재 로그인 사용자

 - 현재 시스템 리소스 상황

 - 현재 전송 중인 패킷 

 - 클립보드에 저장된 데이터 

 - 기타 

3. 활성 데이터 수집

1) 수집 도구

 : 수집 도구로는 Plainbit사에서 제작한 BITLive_win 툴을 이용하였다.

   해당 툴은 깃허브에서 다운받을 수 있다.

   -> 다운로드 링크 : https://github.com/Plainbit/BITLive 

2) 수집 환경 

: 수집환경은 Windows 7 64bit 가상 이미지상에서 실습하였다. 

3) 수집 과정

[수집과정 - 1]

"BitLive_win" 압축파일을 받은 후 압축을 해제하자. 생성된 파일을 확인해보면 윈도우 운영체제 별로 폴더가 있는 것을 알 수 있다.

실습환경이 Windows 7 이므로 "win7" 디렉토리에 들어가자.

[수집과정 - 2]

위 그림을 보면 윈도우 cmd 와 커맨드 명령 파일들이 "win7" 디렉토리에 있는 것을 알 수 있다.

cmd가 있는 이유는 증거 수집시 수집 대상 pc의 cmd가 악성인지 아닌지 판단할 수 없기 때문이다.

따라서 해당 디렉토리에 있는 cmd창을 실행시키고 해당 디렉토리에 있는 명령들을 실행시켜 증거 수집을 진행해야한다.

하지만 환경변수 설정탓에 해당디렉토리에 cmd창을 실행시켜서 명령을 실행해도 윈도우에 있는 명령이 실행된다.

따라서 환경변수를 설정해줘야한다.

[수집과정 - 3]

먼저 환경변수가 어떻게 설정되어있는지 확인하기 위해 cmd 창에서 "echo %path%"를 입력해보았다.

[수집과정 - 4]

이제 환경변수 설정을 위해 "setenv.bat" 파일을 cmd창에서 실행시키자.

실행이 정상적으로 완료되면 위 그림과 같은 메세지가 출력되고 다시 "echo %path%" 명령을 실행시켰을때

환경변수 세팅이 이전과 다르다는걸 알 수 있다.

[수집과정 - 5]

이제 상위 디렉토리로 이동해서 "BITLive_win.bat" 파일을 실행을한다.그 다음 "case name", "examiner's name"은 기호에 맞게 

작성하고 나머지는 "y" 를 입력하자. 그러면 파일이 실행되는 것을 눈으로 확인할 수 있다.

[수집과정 - 6]

수집이 완료되면 "C:\" 경로에 "wave"라는 폴더가 생성된 것을 볼 수 있다.

그 다음 "C:\Wave\MSDN-SPECIAL\volatile" 경로로 이동하면 위 그림과 같은 폴더들을 확인할 수 있다.

실행중이였던 프로세스 데이터를 확인하기 위해 "process_information" 디렉토리로 이동하자.

[수집과정 - 7]

디렉토리 이동 후 "tlist-s.txt" 파일을 열으면 위 그림과 같이 해당 기기가 실행중이였던 프로세스들이 텍스트 형태로 출력되는 것을 볼 수 있다. 프로세스 이외에도 네트워크나 로그인 정보도 이와같이 확인이 가능하다.