이메일을 적으시면 보안관련 소식을 받을수 있습니다.
이메일:













작성자 : 투라
( extraman@boanin.com )

편집자 : 엔시스(sis@sis.pe.kr)

 

지난 주말에 교재를 회사에 두고 와서, 포스팅을 못햇네요..죄송

..일단 교육도 끝났고, 자격증 시험도 끝났슴다..금요일 저녁에 자격시험 봤구요..결과 기다리는중입니다…^^; 덕분에 홀가분은 하네요

 

 

오늘은 말씀드린대로 리눅스포렌식 관련으로 정리해봅니다.

 

현재 대부분의 리눅스 기반포렌식 툴은 오픈소스(무료)툴로 제공되는경우가 많으며, 윈도우 기반 포렌식툴보다 유연한 운영 환경을 제공해주고 있습니다.

그렇지만 사용자 요구시 포렌식 tool에 대한 즉각적인 기술지원이 어렵고, 표준화된 절차 및 방법론, 사용법 관련 문서,샘플등이 부족하며, 윈도우에 비해 다양한 기능을 제공 못하고 있습니다.

 

윈도우 때 처럼 리눅스 파일시스템의 종류를 먼저 살펴보겠습니다.

 

저널링 기능이 없는 파일 시스템 : ext2

저널링 기능이 있는 파일 시스템 : ext3 , xfs, reiserFS, ffs, ZFS, JFS , ext4

현재 대부분의 리눅스가 채택하고 있는 저널링 파일시스템 형식은 ext3이며, 유닉스/리눅스는 파일시스템도 파일로 인식합니다.

 

파티션 설정 상태 확인은 “fdisk -l” 명령을 통해 확인 가능합니다.

 

리눅스 파일 시스템의 블록구조는 다음과 같다.
- boot block  :
부팅에 필요한 bootstrap code

- super block : 각 파일 시스템의 meta data 정보

- i-node block :  inode lists

- data block : 실제 데이터 및 디렉토리

 

그럼 i-node에는 어떤 정보들을 알 수 있는지 알아본다.

i-node : 파일 시스템 내의 모든 객체는 i-node로 표현되어짐

ð  File type, permissions, owener, group, file size, file MAC time, number of links

 

MAC time : 파일 디렉토리의 고유한 시간 속성 정보

- mtime : 파일의 최근 수정 내용

- atime : 파일의 최근 접근 시간

- ctime : 파일의 최근 속성 정보 수정 시간

 

rpm파일을 통해 알아 보는 간단한 포렌식에 대해 알아보자..

rpm 파일은 RedHat 기반의 바이너리 설치 파일 패키지이다.

 

rpm 패키지 자체의 checksum 기능 이용하여 설치된 파일들의 위변저 여부확인 가능

ex) rpm –Va

. . 5 . . . . T      /bin/ls

S . 5 . . . . T  c  /etc/crontab

 

출력 형식

S : file size differs

M : mode differs(permissions and file types)

5 : MD5 sum differs

T : mTime differs

U : User ownership differs

G : Group Uer ownership differs

 

이제는 디스크 스냅샷 작성을 해보자.

 

디스크 스냅샷에는 다음 명령어를 사용한다.

dd : 유닉스 또는 리눅스에 기본적으로 포함된 명령어로 디스크전체 또는 각 파티션에 대한

스냅샷 작성도구

사용법

# dd if=<source> of=<target> bs=<byte size> count=<blocks>

-       bs, count 옵션을 이용하여 특정부분이나 사이즈만 복제 가능

 

메모리 스냅샷은 디스크와 동일하지만, 유의가 필요하다.

# dd if=/dev/mem of=memdump.dd conv=noerror,sync

è  Noerror, sync 옵션을 사용 안하면 계속 진행 불가

 

스냅샷을 작성 했으며 체크섬 값을 이용한 무결성 인증한다.방법은 다음과 같다.

è  md5,sha1을 이용하여 파일의 무결성을 체크하고 검증하는 일반적 방법

ex) # md5sum image.dd > mysum.md5

   .# md5sum -c mysum.md5

 

다음 시간에는 파일 복구에 대해서 알아보기로 하겠습니다.

 


****************************************************************************************************

본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..

****************************************************************************************************

Posted by 비회원

댓글을 달아 주세요

  1. Favicon of https://eva1717.tistory.com BlogIcon eva1717 2009.04.27 22:46 신고  댓글주소  수정/삭제  댓글쓰기

    투라님 Forensic 관련 포스팅 해주시느냐고 항상 수고 하십니다..^^
    트랙백 주소를 보니 99번째 포스팅이네요...+ㅁ+
    100번째 포스팅을 제가 한번 노려봐야겠습니다... ㅎㅎ
    시험결과 좋게 나오길 저도 기도해드릴깨요..^_-
    잘 보고, 다음 포스팅도 기대하고 있겠습니다^^

  2. Favicon of https://boanin.tistory.com BlogIcon John_G 2009.04.29 23:54 신고  댓글주소  수정/삭제  댓글쓰기

    오타가 아닌가 생각되는 부분이 있습니다;;
    저널링 기능이 없는 파일 시스템 : ext3

    ext2 가 아닌가 하는 생각이 ^^;;
    파일 시스템에 대해서 기해가 부족했는데 투라님 글보면서 이해 하고 있습니다 ^^
    항상 좋은 포스팅 부탁드립니다 ^^

  3. Favicon of https://whoaru.tistory.com BlogIcon 후아유! 2009.05.05 01:35 신고  댓글주소  수정/삭제  댓글쓰기

    포렌식에 대해서 최근 관심갖고 보는데.. 개념이^^;;

    이번에 투라님 포스팅을 보면서 개념을 잡아가는중입니다^^

    항상 좋은 포스팅 감사합니다~^^

  4. 장원일 2009.05.25 06:48  댓글주소  수정/삭제  댓글쓰기

    좋은 내용 감사합니다~~