일반적으로 전문적인 법적증거 수집을 위한 Encase 와 같은 도구가 아닌, 침해사고 대응을 위한 시스템으로 리눅스 시스템을 선호합니다. ( : -)물론 솔라리스 시스템의 경우도 동일하게 사용할 수 있습니다.
라이브 포렌식 툴킷의 경우 리눅스 시스템이 더욱 더 선호 되고 있는데 , 현존하는 파일시스템의 거의 대부분 지원하기 때문입니다.
이는 파일시스템을 다양하게 지원하는 리눅스만의 강점이고 할 수 있습니다. ( 별도의 상용 어플리케이션을 사용하지 않은 상태에서 OS 레벨에서 지원하는 파일시스템은 리눅스가 가장 강점을 가집니다.)
암튼...그래서 침해사고 대응을 위한 조사관 시스템을 구성하려고 합니다. ( 솔라리스와 리눅스 동일)
그 때는 하단과 같이 작업하면 됩니다.
==============================
1. 리눅스에서 아래 명령 수행
==============================
#useradd invest
#passwd invest // 패스워드 입력
==============================
2.해쉬생성 및 이미지 마운트
==============================
#mkdir /forensic
#mkdir /forensic/image
#mkdir /forensic/t
#mv /home/invest/honeynet.tar.gz /forensic/image
#cd /forensic/image
#md5sum honeynet.tar.gz // 해쉬 확인 후
#cat md5sum.txt // 기록된 해쉬와 무결성 비교 검사
#tar xvfz honeynet.tar.gz
#mount -t ext2 -o ro,nodev,noexec,loop /forensic/image/honeynet.hda8.dd /forensic/t
#cd /forensic/t
#ls -al
=============================================================
3.TCT 다운로드 후 설치
=============================================================
#wget http://www.porcupine.org/forensics/tct-1.19.tar.gz
#tar xvfz tct-1.19.tar.gz
#mv tct-1.19 /usr/local/tct
#cd /usr/local/tct
#make
#echo "PATH=$PATH:/usr/local/tct/bin:/usr/local/tct/extras:/usr/local/tct/lazarus" >> /root/.bash_profile
=============================================================
4.TCTUtils 다운로드 후 설치
=============================================================
#wget http://homes.cerias.purdue.edu/~carrier/forensics/tctutils/tctutils-1.01.tar.gz
#tar xvfz tctutils-1.01.tar.gz
#cd tctutils-1.01
#make
==============================================================
5.sleuthkit 다운로드 후 설치
=============================================================
#wget http://sourceforge.net/projects/sleuthkit
/files/sleuthkit/3.1.2/sleuthkit-3.1.2.tar.gz/download
#tar xvfz sleuthkit-3.1.2.tar.gz
#cd sleuthkit-3.1.2
#./configure
#make && make install
==============================================================
6.AutoSpy 다운로드 후 설치
==============================================================
#wget http://sourceforge.net/projects/autopsy/files/autopsy/2.24/autopsy-2.24.tar.gz/download
#mkdir -p /forensic/autopsy/rpt
#tar xvfz autopsy-2.24.tar.gz
#cd autopsy-2.24
이렇게 하면 리눅스에서 분석대상 시스템에서 가져온 파일 시스템을 분석 할 수 있게 됩니다.
'security > 포렌식' 카테고리의 다른 글
| *nix Live Forensics (0) | 2010.07.14 |
|---|---|
| 윈도우 7에서의 레지스트리 정보 분석 (1) | 2010.07.08 |
| PsLogList 를 이용한 윈도우 시스템 침해사고 대응 및 디지털 포렌식을 위한 이벤트 덤프 활용 (0) | 2010.07.03 |
| 포렌식을 위한 윈도우 파일 시그니쳐 (techpathways) (2) | 2010.07.03 |
| windows forensic toolchest (WFT 3.0) 자료 (0) | 2010.06.29 |