작은 메모장

윈도우 아티팩트 수집(실습) 본문

KISA 사이버 보안 훈련/멀웨어 식별

윈도우 아티팩트 수집(실습)

으앙내눈 2023. 6. 3. 18:25

윈도우 10 운영체제에서 실습

 

Forecopy_handy라는 응용 프로그램을 사용

다양한 파일들을 수집할 수 있는 것을 확인 가능

 

 

-m 옵션을 사용하여 MFT 파일을 수집

지정된 경로에 파일이 생긴 것을 확인 가능

이런식으로 하나하나 가져올 수 있음

굉장히 수동적인 방법

 

근데 이게 너무 귀찮다/오타날거 같다/복잡하다 같은 사람들을 위한 자동화 프로그램 또한 존재

Windows Live Response 프로그램은 이를 자동으로 해주는 프로그램

Windows OS 말고 MAC OS, Linux OS에서도 사용 가능

 

선택지는 크게 두가지인데,

위쪽의 선택지는 결과물을 암호화할 것인지를 물어봄

아래쪽의 선택지는 어떤 모드로 수집할 것인지를 물어봄

트리아지를 고르고 실행하면, cmd가 열리며 자동으로 수집

수집한 결과는 같은 폴더 내에 PC 이름과 동일한 폴더가 생성 후 거기에 담김

 

그럼 뭘 쓰는게 좋음?

알아서 고르셈

접근할 수 있는 정보의 범위, 허용 가능한 범위 권한이 분석할 때마다 다름(어른의 사정)

때문에 도구를 적절히 선택하고 사용할 수 있게 준비해두는 것이 이상적