FPLive win
소개[편집]
라이브 포렌식 도구란 포렌식 이미지에서 활성 상태의 대상 시스템에서 증거의 무결성을 최대한 유지하면서 필요한 디지털 증거를 수집 해주어야 하는 도구이다. 라이브 포렌식 도구들을 사용할 때, 휘발성 데이터를 비롯한 사건 해결에 필요한 디지털 증거만을 선별적으로 자동 수집하여 초기 수사를 효과적으로 진행할 수 있어야 한다. 라이브 포렌식 도구가 이와 같은 기능을 디지털 기기에 대한 전문적인 지식이 부족한 포렌식 수사관도 큰 어려움 없이 초기 수사를 진행할 수 있어 수사의 효율성을 기대할 수 있다.
FPLive_win
FPLive_win은 ㈜플레인비트에서 개발한 라이브 포렌식 도구이며, Windows 환경에서 실행 가능하다. 무료로 공개된 도구로 forensic-proof 블로그 (http://forensic-proof.com/resources)에서 무료로 다운받아 사용 가능하다. FPLive_win은 동작 중인 프로세스 정보 수집, 로컬과 리소스 공유, 로그온 사용자 정보, 디스크 볼륨(-d), 설치된 애플리케이션(-s), 설치된 핫픽스, 시스템 서비스 정보, promiscuous 모드 탐지, NIC 전체 구성 정보, 작업 스케줄러 정보, 클립보드 정보, 자동 실행 정보, $MFT 수집, 프리패치 파일 수집, 레지스트리 하이브 파일 수집, 이벤트 로그 수집, 설치된 윈도우 업데이트 목록, 그룹 정책에 관한 모든 정보 수집 등의 기능을 제공한다.
FPLive_Win의 실행 화면은 [그림 1]과 같다.
사용법
FPLive_Win는 CUI 환경에서만 실행 가능하므로, Windows 명령 프롬프트에서 실행할 수 있다. 압축을 풀고 수집 하고자 하는 운영체제 이름의 폴더로 접근한다.
데이터를 수집하고자 하는 OS의 이름에 맞는 폴더에 접근한 후 cmd를 실행시켜 현재 폴더의 setenv.bat 파일을 실행한다. 환경 변수가 설정되면 상위 폴더로 이동하여 FPLive_win.bat을 실행하면 현재 FPLive_win이 있는 최상위 드라이브의 Case Name으로 데이터가 추출된다.
네트워크 정보를 얻을 수 있는 명령어는 [표 1]과 같다.
| 명령어 | 설명 |
|---|---|
| apr -a | ARP 테이블 정보 |
| netstat -nao | 네트워크 상태 정보 |
| route PRINT | 라우팅 테이블 정보 |
| cports /stext | TCP/IP 네트워크 열린 포트 정보 |
| urlprotocolview /stext | URL 프로토콜 정보 |
| net session | 로컬 컴퓨터와의 모든 세션 정보 |
| net file | 서버 상에 열린 파일 목록 |
| net share | 로컬 컴퓨터에서 공유되고 있는 모든 리소스 정보 |
| nbtstat -c | NetBIOS 캐시 내용 |
| tcpvcon –a -c | 모든 TCP 종단간 연결 목록 |
프로세스 정보를 얻을 수 있는 명령어는 [표 2]와 같다.
| 명령어 | 설명 |
|---|---|
| pslist /accepteula | 동작중인 프로세스 정보 |
| cprocess /stext | 동작중인 프로세스 정보 |
| procinterrogate -ps | 동작중인 프로세스 정보 |
| tasklist -V | 동작중인 프로세스 정보 |
| -t|-s) | 동작중인 프로세스 정보 |
| listdlls /accepteula | 로드된 DLL 정보 |
| net file | 서버 상에 열린 파일 목록 |
| dllexp /stext | 모든 DLL의 export 함수와 가상메모리 주소 목록 |
| injecteddll /stext | 프로세스에 인젝션된 DLL 목록 |
| handle /accepteula | 프로세스가 열고 있는 핸들 목록 |
| openfilesview /stext | 프로세스가 열고 있는 핸들 목록 |
로그온 사용자 정보를 얻을 수 있는 명령어는 [표 3]과 같다.
| 명령어 | 설명 |
|---|---|
| psloggedon /accepteula | 로컬과 리소스 공유 로그온 사용자 정보 |
| logonsessions /accepteula | 활성화된 로그온 세션 정보 |
| netusers /local /history | 로컬 사용자 로그온 기록 |
| net user | 사용자 계정 정보 |
| psinfo /accepteula | 로컬 혹은 원격 시스템의 주요 정보 |
| -s|-h) | 디스크 볼륨(-d), 설치된 애플리케이션(-s), 설치된 핫픽스 |
| wul /stext | 설치된 윈도우 업데이트 목록 |
| gplist | 적용된 그룹 정책 정보 |
| gpresult /Z | 그룹 정책에 관한 모든 정보 |
| handle /accepteula | 프로세스가 열고 있는 핸들 목록 |
| psservice /accepteula | 시스템 서비스 정보 |
시스템 정보를 얻을 수 있는 명령어는 [표 4]와 같다.
| 명령어 | 설명 |
|---|---|
| psinfo /accepteula | 로컬 혹은 원격 시스템의 주요 정보 |
| -s|-h) | 디스크 볼륨(-d), 설치된 애플리케이션(-s), 설치된 핫픽스 |
| wul /stext | 설치된 윈도우 업데이트 목록 |
| gplist | 적용된 그룹 정책 정보 |
| gpresult /Z | 그룹 정책에 관한 모든 정보 |
| psservice /accepteula | 시스템 서비스 정보 |
네트워크 인터페이스 정보를 얻을 수 있는 명령어는 [표 5]와 같다.
| 명령어 | 설명 |
|---|---|
| promiscdetect | promiscuous 모드 탐지 |
| ipconfig /all | NIC 전체 구성 정보 |
| ipconfig /displaydns | DNS 캐시 정보 |
| getmac | NIC 맥 정보 |
물리메모리를 획득할 수 있는 명령어는 [표 6]과 같다.
| 명령어 | 설명 |
|---|---|
| win(32|64)dd /m /0 /r /f | memorize (configure XML) | 물리 메모리 수집 |
비휘발성 데이터를 수집할 수 있는 명령어는 [표 7]과 같다
| 명령어 | 설명 |
|---|---|
| --mft | $MFT 수집 |
| --prefetch | 프리패치 파일 수집 |
| --registry | 레지스트리 하이브 파일 수집 |
| --etc | System32\drivers\etc 폴더 수집 |
| --evtlog | 이벤트 로그 수집 |
| -x | -c | Firefox|Chrome 아티팩트 수집 |
네트워크 패킷을 획득할 수 있는 명령어는 [표 8]과 같다
| 명령어 | 설명 |
|---|---|
| dumpcap–i %_NIC% -a duration:180 –w %_PACKET_DIR%\NIC_%_NIC%.pcap | 네트워크 패킷 수집 |
도구 기능[편집]
FPLive_win에서 기본적으로 제공하는 도구는 아래 [표 2-5-9]와 같다.
구분 도구명 네트워크 정보 arp.exe ipconfig.exe nbtstat.exe net.exe netstat.exe getmac.exe route.exe tracert.exe 프로세스 정보 tasklist.exe 시스템 정보 systeminfo.exe mem.exe hostname.exe gpreuslt.exe 기타 정보 at.exe schtasks.exe [표 2-5-] FPLive_win 기본 제공 도구
FPLive_win에서 기본적으로 제공하는 도구들을 활용하면 아래와 같은 정보들을 수집할 수 있다.
o 동작 중인 프로세스 정보 수집
- - 로드된 DLL 정보
- - DLL의 모든 익스포트 함수 목록과 가상 메모리 주소 정보
- - 프로세스가 열고 있는 파일 목록
o 로컬과 리소스 공유 로그온 사용자 정보
- - 활성화된 로그온 세션 정보
- - 로컬 사용자 로그온 기록
- - 사용자 계정 정보
o 디스크 볼륨(-d), 설치된 애플리케이션(-s), 설치된 핫픽스
o 설치된 윈도우 업데이트 목록
o 그룹 정책에 관한 모든 정보
o 시스템 서비스 정보
o NIC 전체 구성 정보
- - DNS 캐시 정보
- - NIC 맥 정보
o 작업 스케줄러 정보
o 클립보드 정보
o 자동 실행 정보
o 프리패치 파일 수집
o 이벤트 로그 수집
제한사항[편집]
기본 제공 툴을 사용한 정보 수집 외에 추가적인 정보가 필요하다면 FPLive_win 폴더 내에 있는 readme.txt에 기술 된 FPLive Tool Lists를 확인하여야 한다. 필요한 툴의 다운로드 경로를 확인한 후 다운을 받고 tools 폴더에 넣어야 추가적인 정보를 추출할 수 있다.
수사 활용 방안[편집]
활성데이터 또는 비활성 데이터를 수집함에 있어 주로 사용되는 수집 툴을 운영체제 별로(윈도우7 기준 20개) 제공한다. 다른 라이브 포렌식 도구들과 다르게 라이브 포렌식 도구 내에 수집 툴을 포함하고 있기 때문에 기본적인 사용을 위해서 별도의 세팅이 필요 없다. 또한 한글 인코딩이 잘 되어있어서 출력상의 오류가 없다.
