Presentation is loading. Please wait.

Presentation is loading. Please wait.

한빛미디어㈜ - 1 - IT COOKBOOK ehanbit.net √ 원리를 알면 IT 가 맛있다 정보 보안 개론과 실습 시스템 해킹과 보안 ehanbit.net.

Published by정우 내 Modified 7년 전

Similar presentations

Presentation on theme: "한빛미디어㈜ - 1 - IT COOKBOOK ehanbit.net √ 원리를 알면 IT 가 맛있다 정보 보안 개론과 실습 시스템 해킹과 보안 ehanbit.net."— Presentation transcript:

1 한빛미디어㈜ - 1 - IT COOKBOOK ehanbit.net √ 원리를 알면 IT 가 맛있다 정보 보안 개론과 실습 시스템 해킹과 보안 ehanbit.net

2 chapter 13. 흔적제거와 침입추적

3 한빛미디어㈜ - 3 - IT COOKBOOK ehanbit.net  학습목표 해커 침입 시 사고 대응 절차 이해 흔적 삭제 방법 이해 흔적 추적 이해 삭제한 파일 복구

4 한빛미디어㈜ - 4 - IT COOKBOOK ehanbit.net ■ 해킹 침입사고 발생시 대응절차 1/2 1. 로그 확인 시스템에 현재 해커가 침투하여 활동하고 있는지 또는 활동을 했었는지 확인 2. 현재 해커가 침투한 경우의 대응 – ① 메모리 덤프 - 현재 해커가 침투해 있는 경우에는 메모리를 덤프한 후 이를 CD-ROM 과 같이 다시 쓰기가 불가능한 백업 장비에 저장 - 가장 강력한 법적 효력을 가진 것은 메모리 덤프이며, 또한 법적 증거물로 적 절성을 위해 위 / 변조가 불가능한 CD-ROM 에 저장 3. 현재 해커가 침투한 경우의 대응 - ② 해커의 접속 차단 접속해 있는 해커의 연결을 끊고, 디스크의 이미지를 다시 CD-ROM 과 같이 수정이 불가능한 미디어에 저장 이때는 일반적으로 두 개의 이미지 CD 를 만듬 하나는 법적 증거물 제출용, 다른 하나는 침입 추적 (Forensic) 용으로 사용  침입 사고 발생 시 대응

5 한빛미디어㈜ - 5 - IT COOKBOOK ehanbit.net ■ 해킹 침입사고 발생시 대응절차 2/2 4. 현재 해커가 침투한 경우의 대응 - ③ 운영자에게 통보 관리자는 자신의 상위 직급에 있는 관리자 또는 운영자에게 이 사실을 통보 전화와 같이 즉각적인 반응 수용이 가능한 통신 수단을 이용 5. 현재 해커가 침투한 경우의 대응 - ④ 침입자 추적 침입 추적 과정에서 공격자가 삭제한 파일을 복구하고, 이를 증거로서 제출 시스템 분석과 동시에 시스템의 복구  추적 시 확인사항 - 시스템에 설치된 응용 프로그램의 변조 여부 - 시스템 설정 파일의 변조 여부 - 데이터의 삭제 및 변조 여부 - 운영중인 다른 시스템에 대한 침투 여부 확인  침입 사고 발생 시 대응

6 한빛미디어㈜ - 6 - IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서의 흔적 제거 1/6  세션의 생성 및 로깅 정책의 파악 net use \\192.168.68.4 "qwer1234" /u:administrator auditpol \\192.168.68.4  윈도우 시스템에서의 흔적 제거

7 한빛미디어㈜ - 7 - IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서의 흔적 제거 2/6  원격지 시스템의 로깅 중지 auditpol \\192.168.68.4 /disable  윈도우 시스템에서의 흔적 제거

8 한빛미디어㈜ - 8 - IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서의 흔적 제거 3/6  원격지 시스템의 로깅 중지 확인  윈도우 시스템에서의 흔적 제거

9 한빛미디어㈜ - 9 - IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서의 흔적 제거 4/6  원격지 시스템의 로그 삭제 clearlogs \\192.168.68.4 -sec  윈도우 시스템에서의 흔적 제거

10 한빛미디어㈜ - 10 - IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서의 흔적 제거 5/6  원격지 시스템의 로그 삭제 확인  윈도우 시스템에서의 흔적 제거

11 한빛미디어㈜ - 11 - IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서의 흔적 제거 6/6  원격지 시스템의 로컬 로그 삭제 logkiller  윈도우 시스템에서의 흔적 제거

12 한빛미디어㈜ - 12 - IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서의 침입 추적 ( 로그인 사용자 확인 )  현재 시스템에 로그인한 사용자 확인 ntlast -i ntlast -f  로그인 시도시 실패 목록  윈도우 시스템에서의 침입 추적

13 한빛미디어㈜ - 13 - IT COOKBOOK ehanbit.net ■ NTFS 파일 구조에 대한 이해 ○ PBS(Partition Boot Sector) PBS 는 부팅에 필요한 최소한의 정보를 담으며, 이 부분에 부팅 시 구동되 NTLDR(NT Loader Program) 에 대한 정보가 담긴다. 디스크의 최초 16 섹터가 이 PBS 로 사용된다. ○ MFT(Master File Table) MFT 영역에는 모든 파일과 디렉토리에 대한 파일 이름, 크기, 생성 시간 등 파일 에 대한 데이터 이외의 모든 정보를 담고 있다. 이 MFT 영역은 디스크를 포맷할 때 일정양의 비율로 미리 할당되며, 사용자가 임의로 사용할 수 없는 영역이다. 또한 파일, 디렉토리의 크기에 따라 형식이 약간 다르다. 작은 파일과 디렉토리 ( 약 1500 바이트 미만 ) 는 다음과 같은 형식을 가진다.  윈도우 시스템에서의 침입 추적

14 한빛미디어㈜ - 14 - IT COOKBOOK ehanbit.net ■ NTFS 파일 구조에 대한 이해 ○ 시스템 파일 시스템 파일은 앞서 얘기한 MFT 를 포함하여 파일 복사나 삭제 등의 과정 중에 시스템이 오류를 일으킬 때, 이를 복구하는 데 사용할 디스크 사용에 대한 로그 파일, 디스크 볼륨 이름 등 디스크 자체에 대한 정보들을 담는 파일이 저장된다. ○ 파일 영역 각 파일에 대한 실제 데이터가 저장되는 곳이다. ○ 작은 파일 및 디렉토리 구조  윈도우 시스템에서의 침입 추적

15 한빛미디어㈜ - 15 - IT COOKBOOK ehanbit.net ■ NTFS 파일 삭제 및 복구 각 파일의 MFT 에는 파일의 상태에 대한 2 바이트의 flag 값이 존재하는데, 이 값이 ‘ 1 ’ 일 경우에는 파일이 정상적으로 사용되는 것이며, ‘ 0 ’ 이면 삭제된 파일을 나타낸다. 따라서 여러 파일을 삭제하면 각 파일의 flag 값만 모두 ‘ 1 ’ 에서 ‘ 0 ’ 으로 바꾸는 것이 된다. 삭제한 후 파일에 대한 다른 동작을 하지 않 은 상태라면, ‘ 0 ’ 을 ‘ 1 ’ 로 바꾸어주면 파일은 복구되는 것과 마찬가지다. 하지 만 이 MFT 부분을 임의로 수정할 수 없으므로 다른 디스크에 새로운 파일로 복사하는 형식으로 파일을 복구한다. 파일 복구가 모두 이와 같다면 NTFS 에서의 파일 복구는 아주 짧은 시간에 가능할 것이다. 보통 MFT 는 아무리 커도 일반적인 시스템에서 10MB 정도의 크기를 넘지 않기 때문이다. 문제는 파일의 상태에 대한 flag 값이 ‘ 0 ’ 으로 바 뀌면 해당 MFT 는 변경되고 다른 데이터에 의해 덮여 쓰일 수 있다. 이렇게 되면, MFT 는 손상되고 MFT 가 손상된 파일을 복구하기 위해서는 하드 디스 크 전체를 스캔할 수밖에 없다. 또한 파일 영역에서조차 해당 파일 내용이 손 상되면, 정상적인 파일 복구는 가능하지 않다.  윈도우 시스템에서의 침입 추적

16 한빛미디어㈜ - 16 - IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서 프로세스별 덤프 획득하기 ○ Userdump 의 설치 ○ 메모리 덤프 규칙 설정  윈도우 시스템에서의 침입 추적

17 한빛미디어㈜ - 17 - IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서 프로세스별 덤프 획득하기 ○ 메모리 덤프한 결과 확인  윈도우 시스템에서의 침입 추적

18 한빛미디어㈜ - 18 - IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서 프로세스별 덤프 획득하기 ○ 사용자 프로세스 확인 userdump -p  윈도우 시스템에서의 침입 추적

19 한빛미디어㈜ - 19 - IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서 프로세스별 덤프 획득하기 ○ 사용자 프로세스 덤프 userdump 228 winlogindump  윈도우 시스템에서의 침입 추적

20 한빛미디어㈜ - 20 - IT COOKBOOK ehanbit.net ■ 시스템 이미지 획득 ○ Ghost 를 이용한 디스크 이미지 복사  윈도우 시스템에서의 침입 추적

21 한빛미디어㈜ - 21 - IT COOKBOOK ehanbit.net ■ 삭제된 파일의 복구 ○ Final Data 를 이용한 삭제된 파일 복구  윈도우 시스템에서의 침입 추적

22 한빛미디어㈜ - 22 - IT COOKBOOK ehanbit.net Thank you ehanbit.net

Download ppt "한빛미디어㈜ - 1 - IT COOKBOOK ehanbit.net √ 원리를 알면 IT 가 맛있다 정보 보안 개론과 실습 시스템 해킹과 보안 ehanbit.net."

Similar presentations

비즈쿨 - 정 성 욱 - - 금오공고 비즈쿨 - 정 성 욱 1. 나는 각 단원들의 활동들에 성실하게 참여 하겠습니다. 우리의 다짐 2. 나는 나와 전체의 발전을 위해 각 멘토들의 지도에 순종하겠습니다. 3. 나는 각 단원들을 숙지함으로써 비즈니스 마인드를 함양하고 자신의.

비즈쿨 - 정 성 욱 - - 금오공고 비즈쿨 - 정 성 욱 1. 나는 각 단원들의 활동들에 성실하게 참여 하겠습니다. 우리의 다짐 2. 나는 나와 전체의 발전을 위해 각 멘토들의 지도에 순종하겠습니다. 3. 나는 각 단원들을 숙지함으로써 비즈니스 마인드를 함양하고 자신의.
윤준혁 (12), 이주연 (13), 박혜원 (14), 안혜경 (15) 허니버터칩으로 알아본 SNS 의 영향 력.

윤준혁 (12), 이주연 (13), 박혜원 (14), 안혜경 (15) 허니버터칩으로 알아본 SNS 의 영향 력.
지도교수 : 박진식 교수님 조 원 : 홍승기, 이병용, 백승준, 조근용, 조동현, 한정협, 이상하.

지도교수 : 박진식 교수님 조 원 : 홍승기, 이병용, 백승준, 조근용, 조동현, 한정협, 이상하.
1 ‘ 우리나라의 주요공업 ’ - 정도웅, 주민혁, 안수진, 백경민, 엄다운, 박경찬 -.

1 ‘ 우리나라의 주요공업 ’ - 정도웅, 주민혁, 안수진, 백경민, 엄다운, 박경찬 -.
김 해 시김 해 시 김해시 헬스 3.3 핵심사업 120/80 고혈압 당뇨 중점관리 지역주민의 기대수명을 저해하는 3 대 사망원인 (1 위 암, 2 위 뇌혈관질환, 3 위 심장질환 ) 중 뇌혈관 질환을 제거하기 위하여 지역주민을 대상으로 고 혈압 당뇨병의 조기발견 및.

김 해 시김 해 시 김해시 헬스 3.3 핵심사업 120/80 고혈압 당뇨 중점관리 지역주민의 기대수명을 저해하는 3 대 사망원인 (1 위 암, 2 위 뇌혈관질환, 3 위 심장질환 ) 중 뇌혈관 질환을 제거하기 위하여 지역주민을 대상으로 고 혈압 당뇨병의 조기발견 및.
수유부의 약물복용 시 주의점 발표자 조기성. 모유 수유의 장점 모유 수유의 장점은 ? 위장관 질환 발생감소 영아 돌연사 발생감소 아토피 질환 발생감소 정서적 안정.

수유부의 약물복용 시 주의점 발표자 조기성. 모유 수유의 장점 모유 수유의 장점은 ? 위장관 질환 발생감소 영아 돌연사 발생감소 아토피 질환 발생감소 정서적 안정.
1 단계 -CD 를 삽입 1.CD 를 넣는다 2. 전원을 다시켠다 3.[ENTER] 키를 친다 ( 계속 엔터를 침 ) : 자동으로 컴퓨터가 시스템을 체크하고있다.

1 단계 -CD 를 삽입 1.CD 를 넣는다 2. 전원을 다시켠다 3.[ENTER] 키를 친다 ( 계속 엔터를 침 ) : 자동으로 컴퓨터가 시스템을 체크하고있다.
Copyright © 2006 by The McGraw-Hill Companies, Inc. All rights reserved. McGraw-Hill Technology Education Copyright © 2006 by The McGraw-Hill Companies,

Copyright © 2006 by The McGraw-Hill Companies, Inc. All rights reserved. McGraw-Hill Technology Education Copyright © 2006 by The McGraw-Hill Companies,
똘기 : 채 익지 않은 과일. 똘기 소개 일명 발표동아리. 똘기는 발표에 대한 두려움을 가지고 있는 학우들에게 ‘ 자신감 ’ 을 키워줄 수 있도록 하자는 취지에서 만들어졌다. 평소 강의 시간보다 편안하고 자유롭게 발표해 볼 수 있는 기회를 제공함으로써 발표력 향상에 기여하는.

똘기 : 채 익지 않은 과일. 똘기 소개 일명 발표동아리. 똘기는 발표에 대한 두려움을 가지고 있는 학우들에게 ‘ 자신감 ’ 을 키워줄 수 있도록 하자는 취지에서 만들어졌다. 평소 강의 시간보다 편안하고 자유롭게 발표해 볼 수 있는 기회를 제공함으로써 발표력 향상에 기여하는.
Copyright © 2006 by The McGraw-Hill Companies, Inc. All rights reserved. McGraw-Hill Technology Education Copyright © 2006 by The McGraw-Hill Companies,

Copyright © 2006 by The McGraw-Hill Companies, Inc. All rights reserved. McGraw-Hill Technology Education Copyright © 2006 by The McGraw-Hill Companies,
윈도우XP설치하기 동부산대학 향기나무.

윈도우XP설치하기 동부산대학 향기나무.
일 시 : 2012. 06.14(목) 장 소 : 문산종합사회복지관장) 파주시문산종합사회복지관 기관안내.

일 시 : (목) 장 소 : 문산종합사회복지관장) 파주시문산종합사회복지관 기관안내.
2013년도 2학기 학습튜터링 O.T.

2013년도 2학기 학습튜터링 O.T.
미국의 미디어교육 신문방송학과 20110680 강진구 20110706 한인수 20131191 곽모란 20131204 이명현.

미국의 미디어교육 신문방송학과 강진구 한인수 곽모란 이명현.
성결 어린이 영등포교회 유년부 정답은 뒷면에 제 11-31호 2011월 8월 14일 어디로 가세요?

성결 어린이 영등포교회 유년부 정답은 뒷면에 제 11-31호 2011월 8월 14일 어디로 가세요?
MB노믹스의 실패와 미래 22조 배주환 외 5명.

MB노믹스의 실패와 미래 22조 배주환 외 5명.
Ⅵ. 빛(단원학습목표).

Ⅵ. 빛(단원학습목표).
PRESENTATION 저온화상이란? 2013.12.18.

PRESENTATION 저온화상이란?
2012년 12월 정기 제직회 기 도 : 김영민 집사 출 석 : 서 기 개회 선언 : 제직회장 (이태환 장로)

2012년 12월 정기 제직회 기 도 : 김영민 집사 출 석 : 서 기 개회 선언 : 제직회장 (이태환 장로)
자기소개 21427053김지수 blog.naver.com/1merry1.

자기소개 김지수 blog.naver.com/1merry1.

Similar presentations

Ads by Google