포렌식3 (KISA) 필기 침해사고 아티팩트 수집 1. process 2. eventlog 3. mft 4. prefetch 5. pefile 6. memory dump 7. browser 8. persistence tasklist /SVC touch tasklist.txt | findstr svchost processexp -> select columns -> verified signer, version, image path, command line, integrity level explorer.exe -> cmd.exe -> powershell.exe 이게 아니면 이상! pslist에서 찾기 port : local, report가 모두 well-known port가 아니면 이상..!오후 4:21 2024-04-15 taskli.. 2024. 4. 18. (KISA) 실습 1 교육생자가실습. 시나리오#1 - 프로세스 이상징후 분석 { Q. 악성 프로세스로 의심되는 실행파일의 경로는 무엇입니까? A. C:\Windows\System32\svcnet.exe Q. 악성 프로세스라고 판단하시게 된 이유는 무엇입까? A. 퍼시스턴스에 위의 실행파일 등록되어 있었으며, 서명정보/버전정보등이 올바르게 담겨있지 않다. Q. 악성코드가 사용하는 퍼시스턴스는 무엇입니까? 정확히 서술해주세요 A. KEY: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run VALUE : Shellapi32 DATA : C:\Windows\System32\svcnet.exe Q. 위의 악성실행파일의 생성시간은 언제입니까? A. 2015.06.22 11.. 2024. 4. 18. (KISA) 강의 1 + 침해사고 조사 및 대응 절차 { 1. 침해사고 아티팩트/로그 수집 (Acquisition) 침해사고 조사분석에 필요한 각종 로그, 설정파일, 디지털 자료들을 피해 시스템에서 확보하는 단계 2. 정보추출 (Extraction) 확보한 디지털 증거들을 분석이 가능한 형태로 가공하고 필요한 내용을 추출하는 단계 3. 분석/해석 (Interpretation) 가공된 정보를 바탕으로 이상징후를 판별하고 분석하는 단계 } + 실습. 침해사고 아티팩스 수집 (Aquisition) { E:\LAB\ process\ # 프로세스의 이상징후 분석에 필요 # E:\DFIR\Sysinternals Suite\procexp.exe(관리자모드) 도구의 "file->save as" 기능을 이용하여 확보 # E:\LAB\S0\p.. 2024. 4. 18. 이전 1 다음