소개글

위 자료는 라이브리스폰스에 관한 요약 정리입니다.
라이브 리스폰스란, 컴퓨터가 꺼지지 않은 상태에서의 휘발성,
비휘발성 자료를 수집하는 방법에 관한 자료를 요약한 것입니다.

목차

없음

본문내용

# 라이브 리스폰스
- 라이브 리스폰스란 그대로 죽어있는 시스템의 이미지 파일을 조사하는 것이 아니라 살아있는 시스템을 대상으로 행해지는 일련의 컴퓨터 포렌식 조사 과정을 뜻한다. 따라서 죽어있는 시스템에서는 라이브 리스폰스를 수행 할 수 없다.

# 라이브 리스폰스의 담당 범위
- 살아있는 시스템에서 수집 가능한 모든 정보(휘발성, 비휘발성)의 수집, 분석을 바탕으로 한 사고의 처리

# 라이브 리스폰스의 중요성
①. 휘발성 정보 수집
- 휘발성 저장장치로부터 반드시 수집해야 하는 목록
: 현재 동작중인 프로세스 목록, 열려있는 파일 목록, 네트워크 연결 정보, 클립보드, 사용자 정보, 임시파일, 비밀번호, 복호화된 데이터 등.
- 만약 메모리에만 존재하는 악성 프로그램에 정보가 유출되어 있다면, 휘발성 정보(메모리 덤프)의 수집이 가장 큰 단서가 될 수 있다.
- 숙련된 전문가 일수록, 휘발성 정보 획득을 더 중시 여김.
②. 수집한 휘발성 정보 평가(우선적으로) - 시스템의 대략적 상태 파악 가능.
- 윈도우 버전, 서비스 팩 버전 확인
- 해당 버전이 가지고 있는 취약점과 그 목록 뽑아 조사 방향을 잡는다.
③. 서버 컴퓨터 조사
- 서버컴퓨터일 경우 동작을 중시 할 수 없다. 따라서 휘발성 정보의 수집, 분석이 우선.
- 레지스트리 조사
- 키워드 조사 : 디스크 전체에 대한 키워드 조사는 시간이 많이 걸린다.(용량大)
- 서버컴퓨터에서의 포렌식 조사는 매우 제한적일 수 밖에 없다.

참고 자료

없음