kevin의 정보보안 블로그 kevin의 정보보안 블로그

1. 실습이론을 기반으로 실습을 진행한다. 4.1 시나리오 #1프로세스 이상 경로 확인을 진행한다.  여기서 -i 옵션은 대소문자를 구분하지 않는다는 의미이며, -v 옵션의 경우 사용자가 지정한 문자열을 제외하겠다는 의미이다. 그렇기에 위 명령을 해석할 시 dlllist.txt 파일에서 command line 부분을 대소문자 구분 없이 추출하고 추출된 command line 부분에서 대소문자 구분 없이 windows, program files, systemroot 경로를 가지고 있는 것들을 제외시키고 출력시키라는 의미이다. 출력된 결과를 토대로 확인해봤을 때 출력된 프로세스들은 모두 정상 적인 빌트인 프로세스 파일로 확인된다. 여기서 위 빌트인 프로세스들이 출력된 이유는 해당 프로세스들은 보통 Syste..

1. 개요침해사고가 발생한 시스템은 정상 시스템 대비 여러가지 이상 징후를 가지고 있다. 이러한 이상 징후 식별 방법은 아래와 같다. 1. 프로세스의 이상 징후 식별- 경로 및 이름 분석- 리니지 분석- 명령라인 파라미터 분석- 이미지 버전 정보 분석 2. 제어 지속 지점의 이상징후 식별- 시작 프로그램- 테스크 스케줄- 레지스트리 자동실행 포인트- LoL 바이너리 실행 여부 분석 3. 메모리 분석을 통한 Process Injection 징후 식별- 커널 메모리 영역의 VAD 자료구조 분석- Process Injection 기법 확인 4. 파워시스템 분석을 통한 이상 징후 식별- 타임라인 기반 분석- 시간 조작 여부 확인- NTFS ADS 사용 여부 확인- 악성코드 은닉 여부 확인 이러한 이상 징후 식별..