한빛미디어㈜ - 1 - IT COOKBOOK ehanbit.net √ 원리를 알면 IT 가 맛있다 정보 보안 개론과 실습 시스템 해킹과 보안 ehanbit.net.

Slides:



Advertisements
Similar presentations
비즈쿨 - 정 성 욱 - - 금오공고 비즈쿨 - 정 성 욱 1. 나는 각 단원들의 활동들에 성실하게 참여 하겠습니다. 우리의 다짐 2. 나는 나와 전체의 발전을 위해 각 멘토들의 지도에 순종하겠습니다. 3. 나는 각 단원들을 숙지함으로써 비즈니스 마인드를 함양하고 자신의.
Advertisements

윤준혁 (12), 이주연 (13), 박혜원 (14), 안혜경 (15) 허니버터칩으로 알아본 SNS 의 영향 력.
지도교수 : 박진식 교수님 조 원 : 홍승기, 이병용, 백승준, 조근용, 조동현, 한정협, 이상하.
1 ‘ 우리나라의 주요공업 ’ - 정도웅, 주민혁, 안수진, 백경민, 엄다운, 박경찬 -.
김 해 시김 해 시 김해시 헬스 3.3 핵심사업 120/80 고혈압 당뇨 중점관리 지역주민의 기대수명을 저해하는 3 대 사망원인 (1 위 암, 2 위 뇌혈관질환, 3 위 심장질환 ) 중 뇌혈관 질환을 제거하기 위하여 지역주민을 대상으로 고 혈압 당뇨병의 조기발견 및.
수유부의 약물복용 시 주의점 발표자 조기성. 모유 수유의 장점 모유 수유의 장점은 ? 위장관 질환 발생감소 영아 돌연사 발생감소 아토피 질환 발생감소 정서적 안정.
1 단계 -CD 를 삽입 1.CD 를 넣는다 2. 전원을 다시켠다 3.[ENTER] 키를 친다 ( 계속 엔터를 침 ) : 자동으로 컴퓨터가 시스템을 체크하고있다.
Copyright © 2006 by The McGraw-Hill Companies, Inc. All rights reserved. McGraw-Hill Technology Education Copyright © 2006 by The McGraw-Hill Companies,
똘기 : 채 익지 않은 과일. 똘기 소개 일명 발표동아리. 똘기는 발표에 대한 두려움을 가지고 있는 학우들에게 ‘ 자신감 ’ 을 키워줄 수 있도록 하자는 취지에서 만들어졌다. 평소 강의 시간보다 편안하고 자유롭게 발표해 볼 수 있는 기회를 제공함으로써 발표력 향상에 기여하는.
Copyright © 2006 by The McGraw-Hill Companies, Inc. All rights reserved. McGraw-Hill Technology Education Copyright © 2006 by The McGraw-Hill Companies,
윈도우XP설치하기 동부산대학 향기나무.
일 시 : (목) 장 소 : 문산종합사회복지관장) 파주시문산종합사회복지관 기관안내.
2013년도 2학기 학습튜터링 O.T.
미국의 미디어교육 신문방송학과 강진구 한인수 곽모란 이명현.
성결 어린이 영등포교회 유년부 정답은 뒷면에 제 11-31호 2011월 8월 14일 어디로 가세요?
MB노믹스의 실패와 미래 22조 배주환 외 5명.
Ⅵ. 빛(단원학습목표).
PRESENTATION 저온화상이란?
2012년 12월 정기 제직회 기 도 : 김영민 집사 출 석 : 서 기 개회 선언 : 제직회장 (이태환 장로)
자기소개 김지수 blog.naver.com/1merry1.
공부할 내용 조상들이 살던 곳 자연과 잘 어울리는 한옥 지방에 따라 서로 다른 집의 모양 섬 지방의 집
사랑, 데이트와 성적 자율성 :데이트 성폭력!!! 성폭력예방교육 전문강사 / 여성학 전공 신 순 옥.
보건의료 인력양성의 문제점과 방안 김윤미, 전현화, 김지연, 김현정.
퇴계와 율곡의 사회사상 비교 남 일 재 동서대학교 교수/ 정치학 박사 1. 퇴계 이황과 율곡 이이의 약전(略傳)
제3장 사회 복지 발달사.
청소년문제와 보호 청소년문제의 개념과 범주.
통로이미지㈜ 마케팅실 신입/경력 모집 ◎ 모집부분 및 자격요건 ◎ 채용인원 ◎ 전형절차 ◎ 제출서류 ◎ 연봉 ◎ 사전인터뷰
대포나 미사일이 없던 옛날에는 먼 거리에 있는 적의 성을 어떻게 공격했을까?
가족상담 및 치료.
501. 군인들의 세상 502. 민정 이양과 한일회담 이선용.
쌓지 말고 해소하자 이 주휘 이 진영 전 민석 전 혜림.
2015년 하반기 소방교육 자 유 전 공 학 부 (금) 안녕하십니까 자유전공학부 행정실 입니다.
2017 북부문화사업단 공모지원사업 교부·정산 설명회.
쌍용차 회생계획안을 통한 투기자본(=먹튀자본) 수강과목: 회 계 학 원론 담당교수: 박 성 환 교수님
정보 보안 개론과 실습 시스템 해킹과 보안 √ 원리를 알면 IT가 맛있다 ehanbit.net.
게임 엔진 : 프로젝트 PPT_1 참참참 김 현 원.
아동복지 제9장.
서울 메트로 노조파업 수강과목 : 노사 관계론 담당교수 : 정형진 교수님
영덕풍력발전단지 준공 기념식 행사(안) 경영기획실.
부트로더와 커널 이미지 부트로더 개요 타겟 시스템 부트로더 분석 부트로더 생성 커널 빌드 과정 커널 컴파일 규칙 커널 포팅
5 FLOWCHAT 순서도 순서도의 기호 익히기.
7장: 빛의 간섭과 회절 빛의 간섭 단일슬릿과 회절 회절격자 – 더 선명해진 간섭무늬.
제13장 장애인 복지.
2015. 인문소양교육.
흡연 예방 보건교육 소중한 우리, 담배로부터 지켜요 서신초등학교.
보육교사 대상 꿈날개 매뉴얼.
글로벌한국사 2강 - 고조선과 단군할아버지- 신화 속 역사 읽기.
Ⅰ. 가족복지 개관 가족복지론 최진령.
칼빈의 생애와 개혁자로의 변모 사학과 김종식.
패시브하우스 신안산대학교 l 건축과 l 박효동, 박창준, 지예림.
국제의료관광 관련 법, 제도.
정치개혁의 가능성 논의 권력구조 개편을 통하여 본 -개헌을 통한 정부형태의 변화를 중심으로 [한국정치론] 윤성이 교수님
알쏭달쏭 요한복음 성경퀴즈.
치료 레크레이션 프로그램 (지적 장애 대상) 과 목: 학 과: 학 번: 이 름: 제 출 일 자 담 당 교 수:
게임 엔진 : 프로젝트 PPT_2 참참참 김 현 원.
Chapter 02. 사용자 중심의 디자인.
노년기 발달 장안대 행정법률과 세류반 정 오 손
CHAPTER 9-1 한국의 사회복지정책 - 사회보험제도 -
태국 문학 욜라다 왓짜니 싸란차나 팟차라와라이 끼따야펀 르앙다우 타니다.
평생 저축해도 강남 아파트 못산다 학 과 : 회계학과 1학년 B반 과 목 : 회계학원론 담당교수: 박성환 교수님
기술가정 2학년 1학기 2.재료의 이용>1) 목재,플라스틱,금속재료의 특성>11/15제품의 구상
콘텐츠 디자인 황아현.
▶서류관리 프로그램 1. 로그인….2 2. 서류등록 … 서류도착 서류스티커발행
정부조직론 Team 1 발표 제5장 제1절, 제2절 공공정책학부 강철욱 권지호
경영학의 상황학파에 대해서… 경제학과 3학년 최준용 회계학과 4학년 진현빈
워밍업 실뭉치 전달게임.
유예 X-FILE *조사자* 1301권희원 1315이예지 1317장아정 1322홍자현.
음파성명학 최종욱.
“사업주 부정수급 Clean Up 캠페인”.
경찰학 세미나 제 5 강 경찰관직무집행법 2조 5호의 의미 신라대학교 법경찰학부 김순석.
Presentation transcript:

한빛미디어㈜ IT COOKBOOK ehanbit.net √ 원리를 알면 IT 가 맛있다 정보 보안 개론과 실습 시스템 해킹과 보안 ehanbit.net

chapter 13. 흔적제거와 침입추적

한빛미디어㈜ IT COOKBOOK ehanbit.net  학습목표 해커 침입 시 사고 대응 절차 이해 흔적 삭제 방법 이해 흔적 추적 이해 삭제한 파일 복구

한빛미디어㈜ IT COOKBOOK ehanbit.net ■ 해킹 침입사고 발생시 대응절차 1/2 1. 로그 확인 시스템에 현재 해커가 침투하여 활동하고 있는지 또는 활동을 했었는지 확인 2. 현재 해커가 침투한 경우의 대응 – ① 메모리 덤프 - 현재 해커가 침투해 있는 경우에는 메모리를 덤프한 후 이를 CD-ROM 과 같이 다시 쓰기가 불가능한 백업 장비에 저장 - 가장 강력한 법적 효력을 가진 것은 메모리 덤프이며, 또한 법적 증거물로 적 절성을 위해 위 / 변조가 불가능한 CD-ROM 에 저장 3. 현재 해커가 침투한 경우의 대응 - ② 해커의 접속 차단 접속해 있는 해커의 연결을 끊고, 디스크의 이미지를 다시 CD-ROM 과 같이 수정이 불가능한 미디어에 저장 이때는 일반적으로 두 개의 이미지 CD 를 만듬 하나는 법적 증거물 제출용, 다른 하나는 침입 추적 (Forensic) 용으로 사용  침입 사고 발생 시 대응

한빛미디어㈜ IT COOKBOOK ehanbit.net ■ 해킹 침입사고 발생시 대응절차 2/2 4. 현재 해커가 침투한 경우의 대응 - ③ 운영자에게 통보 관리자는 자신의 상위 직급에 있는 관리자 또는 운영자에게 이 사실을 통보 전화와 같이 즉각적인 반응 수용이 가능한 통신 수단을 이용 5. 현재 해커가 침투한 경우의 대응 - ④ 침입자 추적 침입 추적 과정에서 공격자가 삭제한 파일을 복구하고, 이를 증거로서 제출 시스템 분석과 동시에 시스템의 복구  추적 시 확인사항 - 시스템에 설치된 응용 프로그램의 변조 여부 - 시스템 설정 파일의 변조 여부 - 데이터의 삭제 및 변조 여부 - 운영중인 다른 시스템에 대한 침투 여부 확인  침입 사고 발생 시 대응

한빛미디어㈜ IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서의 흔적 제거 1/6  세션의 생성 및 로깅 정책의 파악 net use \\ "qwer1234" /u:administrator auditpol \\  윈도우 시스템에서의 흔적 제거

한빛미디어㈜ IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서의 흔적 제거 2/6  원격지 시스템의 로깅 중지 auditpol \\ /disable  윈도우 시스템에서의 흔적 제거

한빛미디어㈜ IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서의 흔적 제거 3/6  원격지 시스템의 로깅 중지 확인  윈도우 시스템에서의 흔적 제거

한빛미디어㈜ IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서의 흔적 제거 4/6  원격지 시스템의 로그 삭제 clearlogs \\ sec  윈도우 시스템에서의 흔적 제거

한빛미디어㈜ IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서의 흔적 제거 5/6  원격지 시스템의 로그 삭제 확인  윈도우 시스템에서의 흔적 제거

한빛미디어㈜ IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서의 흔적 제거 6/6  원격지 시스템의 로컬 로그 삭제 logkiller  윈도우 시스템에서의 흔적 제거

한빛미디어㈜ IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서의 침입 추적 ( 로그인 사용자 확인 )  현재 시스템에 로그인한 사용자 확인 ntlast -i ntlast -f  로그인 시도시 실패 목록  윈도우 시스템에서의 침입 추적

한빛미디어㈜ IT COOKBOOK ehanbit.net ■ NTFS 파일 구조에 대한 이해 ○ PBS(Partition Boot Sector) PBS 는 부팅에 필요한 최소한의 정보를 담으며, 이 부분에 부팅 시 구동되 NTLDR(NT Loader Program) 에 대한 정보가 담긴다. 디스크의 최초 16 섹터가 이 PBS 로 사용된다. ○ MFT(Master File Table) MFT 영역에는 모든 파일과 디렉토리에 대한 파일 이름, 크기, 생성 시간 등 파일 에 대한 데이터 이외의 모든 정보를 담고 있다. 이 MFT 영역은 디스크를 포맷할 때 일정양의 비율로 미리 할당되며, 사용자가 임의로 사용할 수 없는 영역이다. 또한 파일, 디렉토리의 크기에 따라 형식이 약간 다르다. 작은 파일과 디렉토리 ( 약 1500 바이트 미만 ) 는 다음과 같은 형식을 가진다.  윈도우 시스템에서의 침입 추적

한빛미디어㈜ IT COOKBOOK ehanbit.net ■ NTFS 파일 구조에 대한 이해 ○ 시스템 파일 시스템 파일은 앞서 얘기한 MFT 를 포함하여 파일 복사나 삭제 등의 과정 중에 시스템이 오류를 일으킬 때, 이를 복구하는 데 사용할 디스크 사용에 대한 로그 파일, 디스크 볼륨 이름 등 디스크 자체에 대한 정보들을 담는 파일이 저장된다. ○ 파일 영역 각 파일에 대한 실제 데이터가 저장되는 곳이다. ○ 작은 파일 및 디렉토리 구조  윈도우 시스템에서의 침입 추적

한빛미디어㈜ IT COOKBOOK ehanbit.net ■ NTFS 파일 삭제 및 복구 각 파일의 MFT 에는 파일의 상태에 대한 2 바이트의 flag 값이 존재하는데, 이 값이 ‘ 1 ’ 일 경우에는 파일이 정상적으로 사용되는 것이며, ‘ 0 ’ 이면 삭제된 파일을 나타낸다. 따라서 여러 파일을 삭제하면 각 파일의 flag 값만 모두 ‘ 1 ’ 에서 ‘ 0 ’ 으로 바꾸는 것이 된다. 삭제한 후 파일에 대한 다른 동작을 하지 않 은 상태라면, ‘ 0 ’ 을 ‘ 1 ’ 로 바꾸어주면 파일은 복구되는 것과 마찬가지다. 하지 만 이 MFT 부분을 임의로 수정할 수 없으므로 다른 디스크에 새로운 파일로 복사하는 형식으로 파일을 복구한다. 파일 복구가 모두 이와 같다면 NTFS 에서의 파일 복구는 아주 짧은 시간에 가능할 것이다. 보통 MFT 는 아무리 커도 일반적인 시스템에서 10MB 정도의 크기를 넘지 않기 때문이다. 문제는 파일의 상태에 대한 flag 값이 ‘ 0 ’ 으로 바 뀌면 해당 MFT 는 변경되고 다른 데이터에 의해 덮여 쓰일 수 있다. 이렇게 되면, MFT 는 손상되고 MFT 가 손상된 파일을 복구하기 위해서는 하드 디스 크 전체를 스캔할 수밖에 없다. 또한 파일 영역에서조차 해당 파일 내용이 손 상되면, 정상적인 파일 복구는 가능하지 않다.  윈도우 시스템에서의 침입 추적

한빛미디어㈜ IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서 프로세스별 덤프 획득하기 ○ Userdump 의 설치 ○ 메모리 덤프 규칙 설정  윈도우 시스템에서의 침입 추적

한빛미디어㈜ IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서 프로세스별 덤프 획득하기 ○ 메모리 덤프한 결과 확인  윈도우 시스템에서의 침입 추적

한빛미디어㈜ IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서 프로세스별 덤프 획득하기 ○ 사용자 프로세스 확인 userdump -p  윈도우 시스템에서의 침입 추적

한빛미디어㈜ IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서 프로세스별 덤프 획득하기 ○ 사용자 프로세스 덤프 userdump 228 winlogindump  윈도우 시스템에서의 침입 추적

한빛미디어㈜ IT COOKBOOK ehanbit.net ■ 시스템 이미지 획득 ○ Ghost 를 이용한 디스크 이미지 복사  윈도우 시스템에서의 침입 추적

한빛미디어㈜ IT COOKBOOK ehanbit.net ■ 삭제된 파일의 복구 ○ Final Data 를 이용한 삭제된 파일 복구  윈도우 시스템에서의 침입 추적

한빛미디어㈜ IT COOKBOOK ehanbit.net Thank you ehanbit.net