이메일을 적으시면 보안관련 소식을 받을수 있습니다.
이메일:













작성자 : 투라 (
extraman@boanin.com)

편집자 : 엔시스

 

5/4 연차 휴가 사용으로 5월초 황금연휴(?)가 되었네요..덕분에 포스팅이 또..^^;

애들 대리고 여기저기 가까운데만 다녔는데도 힘드네요..이놈의 저질체력...

 

오늘은 DB포렌식입니다.

 

DB증거자료의 추출 절차는

 

1.     운영체제 및 DB종류 및 설정 정보 확인

2.     DB 접속 후 Memory, User, Resources등의 휘발성 정보 추출

3.     DB 서버 압수 할 경우 DB shutdown O/S 종료

4.     목적자료만 추출 할 경우 DB or 운영체제상 명령어 이용 자료의 추출 및 복사

5.     DB운영자,개발자 있을 경우 DB설계 개념, 사용 목적 및 방법, 추가 백업데이터

여부조사

6.     추출된 데이터 베이스 복사본 or 저장 증거 파일의 해쉬값 계산,기록,확인 후 보관

 

DB증거 자료 추출시 고려 상황

l  대형범죄 아닌경우 시레 규모 큰 site에서 DB 전체 복제하는 일이 적음

è 저장 용량, 시간, 개인정보나 회사 기밀 정보의 유출등 문제점 있음

l  정보 추출 시 우선 ERD나 스키마 받아서 DB구조 분석

l  DB구조 파악 후 query 날려 필요한 부분만 덤프 뜨는 형식을 취함

l  덤프 받은 자료를 담당자 확인 후 압수(목록 작성 날인)

è 보통 압수과정에서 수사관 참여 하에 담당자가 직접 DB 덤프 or 담당자 입회 하에

.수사관직접 추출

l  기업체가 크고 중요한 DB가 많은 경우 수사관 실수로 치명적 결과 가져올 가능성

à Dump도중 DB나 테이블 삭제 or DB다운

è DB 관리자가 직접 필요 내용 추출하는 방법 많이 사용

 

DB 증거 자료 분석 절차

- 추출된 데이터베이스 복사본 및 증거파일의 해쉬 값을 생성하고 추출 시 작성된 문서의

기재된 값과 비교

- 휘발성 정보 획득 했을 경우, memory, process, file등의 자원 사용을 분석하여 사용

됐던 기능 및 상황 파악

- DB 증거에 맞는 O/S DB프로그ㅐㄻ을 구축하고 증거 파일을 복사 및 복제

- DB접속 프로그램 및 로그 분석 프로그램을 사용하여 자료구조, 자료 관계, 접속자,

사용내역, 자료 복구등을 목적에 맞게 실행하고 증거 획득

- DB 분석의 분석자, 분석 과정, 분석 결과 등의 세부 사항을 기록

 

그렇다면 언제 DB Snapshot을 작성해야 하는가….

l  DB에 대한공격 or 훼손이 발견 되었을 즉시

l  일정 횟수 이상의 DB 트랜젝션이 시행 되었을 때

l  일정시간 (매일,매주,매월 등..)

l  일정 횟수 이상의 DB 사용자 로그인/로그아웃

l  기타 시스템과 운영자 필요시

 

그럼 DB 포렌식의 주요 증거 자료 항목은 어떤것들이 있는가..

l  휘발성 DB Connection & Session 정보

l  DB 전체 or 특정 DB

l  DB Table 전체 또는 특정 Table 또는 특정 레코드

l  Meta 정보 DB 또는 Meta 정보 Table

l  DB 자체 Log

l  System Log

l  Application Log

 

위의 증거 자료들중 수집 우선 순위는??

 

1.     DB Server connections & Session

2.     TranSaction Log

3.     DB Server Log

4.     DB Server Files

5.     System Event Log

 

기타 DB 보안 설정 및 SQL Injection, 기타 로그 위치등은 많은 자료가 잇으므로 생략 합니다. 포렌식 자격시험에서는 DB쪽에서 SQL Injection의 흔적을 알 수 잇는 증거내용 이런게 있었는거 같습니다..

 

이정도로 DB에 대한 내용은 마무리합니다.

다음에는 network 관련 내용으로 포스팅 이어 갑니다.

토욜까지 포스팅 못할듯하고..늦어도 월욜까지는 포스팅 하도록 하겠습니다.

 

****************************************************************************************************

본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..

****************************************************************************************************

Posted by 비회원

댓글을 달아 주세요

  1. Favicon of https://boanin.tistory.com BlogIcon 보안인닷컴 2009.05.08 07:37 신고  댓글주소  수정/삭제  댓글쓰기

    잘 보았습니다..혹시 db 포렌식에 대한 참고 자료도 있으면 같이 올려 주셨었으면 더 좋았을꺼 같았습니다.

  2. Favicon of https://eva1717.tistory.com BlogIcon eva1717 2009.05.08 08:11 신고  댓글주소  수정/삭제  댓글쓰기

    투라님 수고하셨습니다..^^
    활성화 되지 않는 분야를 포스팅해 해주시니... 더욱 힘이 들 듯 싶습니다..
    +ㅁ+ 고생하셨어요~!

    잘 보고 갑니다^^

  3. Favicon of https://whoaru.tistory.com BlogIcon 후아유! 2009.05.10 00:50 신고  댓글주소  수정/삭제  댓글쓰기

    DB쪽도 휘발성 데이타가 역시 우선순위가 가장 높네요^^
    잘 보았습니다 감사합니다^^

  4. Favicon of http://blog.naver.com/hawilra BlogIcon MuTanSan 2009.08.14 21:50  댓글주소  수정/삭제  댓글쓰기

    와 - DB 포렌식
    멋있다 >_< ㅎ

  5. Favicon of http://www.moncleroutletespain.com/ BlogIcon moncler 2013.01.04 14:37  댓글주소  수정/삭제  댓글쓰기

    Le feu, d'origine indéterminée, http://www.moncleroutletespain.com/ moncler españa, s'est déclaré vers 13h30 à l'avant-dernier étage de la plus haute tour de Chambéry, http://www.moncleroutletespain.com/ moncler, le "Centenaire", située à proximité de la gare. Il s'est rapidement propagé à trois autres appartements, http://www.moncleroutletespain.com/ moncler outlet, dont deux étaient en flammes vers 14h30, http://www.moncleroutletespain.com/ http://www.moncleroutletespain.com/. Une femme est morte en se défenestrant pour tenter d'échapper au sinistre, http://www.moncleroutletespain.com/ moncler chaquetas. Une partie de l'immeuble a été évacuée et une cinquantaine de pompiers ont été mobilisés pour lutter contre les flammes. Selon le sous-préfet Xavier Idier, présent sur les lieux, le risque de propagation du sinistre aux étages inférieurs est "limité", http://www.moncleroutletespain.com/ moncler online.Related articles:


    http://maxhack.tistory.com/?page=5 http://maxhack.tistory.com/?page=5

    http://jkblue.tistory.com/6 http://jkblue.tistory.com/6