FPLive win

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기


소개

라이브 포렌식 도구란 포렌식 이미지에서 활성 상태의 대상 시스템에서 증거의 무결성을 최대한 유지하면서 필요한 디지털 증거를 수집 해주어야 하는 도구이다. 라이브 포렌식 도구들을 사용할 때, 휘발성 데이터를 비롯한 사건 해결에 필요한 디지털 증거만을 선별적으로 자동 수집하여 초기 수사를 효과적으로 진행할 수 있어야 한다. 라이브 포렌식 도구가 이와 같은 기능을 디지털 기기에 대한 전문적인 지식이 부족한 포렌식 수사관도 큰 어려움 없이 초기 수사를 진행할 수 있어 수사의 효율성을 기대할 수 있다.

FPLive_win

FPLive_win은 ㈜플레인비트에서 개발한 라이브 포렌식 도구이며, Windows 환경에서 실행 가능하다. 무료로 공개된 도구로 forensic-proof 블로그 (http://forensic-proof.com/resources)에서 무료로 다운받아 사용 가능하다. FPLive_win은 동작 중인 프로세스 정보 수집, 로컬과 리소스 공유, 로그온 사용자 정보, 디스크 볼륨(-d), 설치된 애플리케이션(-s), 설치된 핫픽스, 시스템 서비스 정보, promiscuous 모드 탐지, NIC 전체 구성 정보, 작업 스케줄러 정보, 클립보드 정보, 자동 실행 정보, $MFT 수집, 프리패치 파일 수집, 레지스트리 하이브 파일 수집, 이벤트 로그 수집, 설치된 윈도우 업데이트 목록, 그룹 정책에 관한 모든 정보 수집 등의 기능을 제공한다. FPLive_Win의 실행 화면은 [그림 1]과 같다.


그림 1.FPLive_win 실행화면










사용법 FPLive_Win는 CUI 환경에서만 실행 가능하므로, Windows 명령 프롬프트에서 실행할 수 있다. 압축을 풀고 수집 하고자 하는 운영체제 이름의 폴더로 접근한다.


그림 2.FPLive_Win 폴더 트리









데이터를 수집하고자 하는 OS의 이름에 맞는 폴더에 접근한 후 cmd를 실행시켜 현재 폴더의 setenv.bat 파일을 실행한다. 환경 변수가 설정되면 상위 폴더로 이동하여 FPLive_win.bat을 실행하면 현재 FPLive_win이 있는 최상위 드라이브의 Case Name으로 데이터가 추출된다.

그림 3.윈도우7 서드파티 도구


그림 4.setenv.bat 환경변수 설정


그림 5.FPLive_win.bat 데이터 추출


그림 6.FPLive_win 추출된 데이터






























네트워크 정보를 얻을 수 있는 명령어는 [표 1]과 같다.

[표 1] FPLive_win 네트워크 정보
명령어 설명
apr -a ARP 테이블 정보
netstat -nao 네트워크 상태 정보
route PRINT 라우팅 테이블 정보
cports /stext TCP/IP 네트워크 열린 포트 정보
urlprotocolview /stext URL 프로토콜 정보
net session 로컬 컴퓨터와의 모든 세션 정보
net file 서버 상에 열린 파일 목록
net share 로컬 컴퓨터에서 공유되고 있는 모든 리소스 정보
nbtstat -c NetBIOS 캐시 내용
tcpvcon –a -c 모든 TCP 종단간 연결 목록


프로세스 정보를 얻을 수 있는 명령어는 [표 2]와 같다.

[표 2] FPLive_win 네트워크 정보
명령어 설명
pslist /accepteula 동작중인 프로세스 정보
cprocess /stext 동작중인 프로세스 정보
procinterrogate -ps 동작중인 프로세스 정보
tasklist -V 동작중인 프로세스 정보
-t|-s) 동작중인 프로세스 정보
listdlls /accepteula 로드된 DLL 정보
net file 서버 상에 열린 파일 목록
dllexp /stext 모든 DLL의 export 함수와 가상메모리 주소 목록
injecteddll /stext 프로세스에 인젝션된 DLL 목록
handle /accepteula 프로세스가 열고 있는 핸들 목록
openfilesview /stext 프로세스가 열고 있는 핸들 목록


로그온 사용자 정보를 얻을 수 있는 명령어는 [표 3]과 같다.

[표 3] FPLive_win 로그온 사용자 정보
명령어 설명
psloggedon /accepteula 로컬과 리소스 공유 로그온 사용자 정보
logonsessions /accepteula 활성화된 로그온 세션 정보
netusers /local /history 로컬 사용자 로그온 기록
net user 사용자 계정 정보
psinfo /accepteula 로컬 혹은 원격 시스템의 주요 정보
-s|-h) 디스크 볼륨(-d), 설치된 애플리케이션(-s), 설치된 핫픽스
wul /stext 설치된 윈도우 업데이트 목록
gplist 적용된 그룹 정책 정보
gpresult /Z 그룹 정책에 관한 모든 정보
handle /accepteula 프로세스가 열고 있는 핸들 목록
psservice /accepteula 시스템 서비스 정보


시스템 정보를 얻을 수 있는 명령어는 [표 4]와 같다.

[표 4] FPLive_win 시스템 정보
명령어 설명
psinfo /accepteula 로컬 혹은 원격 시스템의 주요 정보
-s|-h) 디스크 볼륨(-d), 설치된 애플리케이션(-s), 설치된 핫픽스
wul /stext 설치된 윈도우 업데이트 목록
gplist 적용된 그룹 정책 정보
gpresult /Z 그룹 정책에 관한 모든 정보
psservice /accepteula 시스템 서비스 정보



네트워크 인터페이스 정보를 얻을 수 있는 명령어는 [표 5]와 같다.

[표 5] FPLive_win 네트워크 인터페이스 정보
명령어 설명
promiscdetect promiscuous 모드 탐지
ipconfig /all NIC 전체 구성 정보
ipconfig /displaydns DNS 캐시 정보
getmac NIC 맥 정보



물리메모리를 획득할 수 있는 명령어는 [표 6]과 같다.

[표 6] FPLive_win 물리메모리 획득
명령어 설명
win(32|64)dd /m /0 /r /f | memorize (configure XML) 물리 메모리 수집


비휘발성 데이터를 수집할 수 있는 명령어는 [표 7]과 같다

[표 7] FPLive_win 비휘발성 데이터 수집
명령어 설명
--mft $MFT 수집
--prefetch 프리패치 파일 수집
--registry 레지스트리 하이브 파일 수집
--etc System32\drivers\etc 폴더 수집
--evtlog 이벤트 로그 수집
-x | -c Firefox|Chrome 아티팩트 수집


네트워크 패킷을 획득할 수 있는 명령어는 [표 8]과 같다

[표 8] FPLive_win 네트워크 패킷 획득
명령어 설명
dumpcap–i %_NIC% -a duration:180 –w %_PACKET_DIR%\NIC_%_NIC%.pcap 네트워크 패킷 수집

도구 기능

FPLive_win에서 기본적으로 제공하는 도구는 아래 [표 2-5-9]와 같다.

구분 도구명 네트워크 정보 arp.exe ipconfig.exe nbtstat.exe net.exe netstat.exe getmac.exe route.exe tracert.exe 프로세스 정보 tasklist.exe 시스템 정보 systeminfo.exe mem.exe hostname.exe gpreuslt.exe 기타 정보 at.exe schtasks.exe [표 2-5-] FPLive_win 기본 제공 도구


FPLive_win에서 기본적으로 제공하는 도구들을 활용하면 아래와 같은 정보들을 수집할 수 있다.

o 동작 중인 프로세스 정보 수집

- 로드된 DLL 정보
- DLL의 모든 익스포트 함수 목록과 가상 메모리 주소 정보
- 프로세스가 열고 있는 파일 목록

o 로컬과 리소스 공유 로그온 사용자 정보

- 활성화된 로그온 세션 정보
- 로컬 사용자 로그온 기록
- 사용자 계정 정보

o 디스크 볼륨(-d), 설치된 애플리케이션(-s), 설치된 핫픽스
o 설치된 윈도우 업데이트 목록
o 그룹 정책에 관한 모든 정보
o 시스템 서비스 정보
o NIC 전체 구성 정보

- DNS 캐시 정보
- NIC 맥 정보

o 작업 스케줄러 정보
o 클립보드 정보
o 자동 실행 정보
o 프리패치 파일 수집
o 이벤트 로그 수집

제한사항

기본 제공 툴을 사용한 정보 수집 외에 추가적인 정보가 필요하다면 FPLive_win 폴더 내에 있는 readme.txt에 기술 된 FPLive Tool Lists를 확인하여야 한다. 필요한 툴의 다운로드 경로를 확인한 후 다운을 받고 tools 폴더에 넣어야 추가적인 정보를 추출할 수 있다.

수사 활용 방안

활성데이터 또는 비활성 데이터를 수집함에 있어 주로 사용되는 수집 툴을 운영체제 별로(윈도우7 기준 20개) 제공한다. 다른 라이브 포렌식 도구들과 다르게 라이브 포렌식 도구 내에 수집 툴을 포함하고 있기 때문에 기본적인 사용을 위해서 별도의 세팅이 필요 없다. 또한 한글 인코딩이 잘 되어있어서 출력상의 오류가 없다.