작은 메모장
윈도우 아티팩트 수집(실습) 본문
윈도우 10 운영체제에서 실습
Forecopy_handy라는 응용 프로그램을 사용
다양한 파일들을 수집할 수 있는 것을 확인 가능
-m 옵션을 사용하여 MFT 파일을 수집
지정된 경로에 파일이 생긴 것을 확인 가능
이런식으로 하나하나 가져올 수 있음
굉장히 수동적인 방법
근데 이게 너무 귀찮다/오타날거 같다/복잡하다 같은 사람들을 위한 자동화 프로그램 또한 존재
Windows Live Response 프로그램은 이를 자동으로 해주는 프로그램
Windows OS 말고 MAC OS, Linux OS에서도 사용 가능
선택지는 크게 두가지인데,
위쪽의 선택지는 결과물을 암호화할 것인지를 물어봄
아래쪽의 선택지는 어떤 모드로 수집할 것인지를 물어봄
트리아지를 고르고 실행하면, cmd가 열리며 자동으로 수집
수집한 결과는 같은 폴더 내에 PC 이름과 동일한 폴더가 생성 후 거기에 담김
그럼 뭘 쓰는게 좋음?
알아서 고르셈
접근할 수 있는 정보의 범위, 허용 가능한 범위 권한이 분석할 때마다 다름(어른의 사정)
때문에 도구를 적절히 선택하고 사용할 수 있게 준비해두는 것이 이상적
'KISA 사이버 보안 훈련 > 멀웨어 식별' 카테고리의 다른 글
프로세스 이상징후 분석 (시나리오 3) (0) | 2024.07.22 |
---|---|
프로세스 이상징후 분석 (시나리오 2) (0) | 2024.07.22 |
프로세스 이상징후 분석 (시나리오 1) (0) | 2024.07.21 |
윈도우 단말의 악성코드 유입 경로와 이상징후 식별 개요 (0) | 2023.06.03 |
윈도우 아티팩트 수집(이론) (0) | 2023.06.03 |