[System Tracking] 시스템변경 추적(모니터) 도구소개

|

침해사고가 발생된 시스템의 초기분석 과정에서 빠질 수 없는 것이 공격 후의 시스템내 변경내역을 추적하는 것이다. 이는 곧 공격자의 행위를 파악할 수 있기도 하거니와 피해범위를 산정하기 이한 작업이기도 하다. 하지만, 시스템의 변경을 추적한다는게 말처럼 쉽지는 않다. 다른 분석과정처럼 현 시스템의 어느부분이 변경되었으며 어떻게 악의적인 동작을 하는지 확인하는 방법이 쉽지않기 때문이다.

 

따라서, 여기서는 초기분석 시, 시스템의 변경을 추적하여 분석/접근하는 방법에 사용 가능한 도구를 소개하여 기록하고자 한다.

 

1. [Winalysis 3.1]

: 가장 많이 알려진 도구이기도 하고, 가장 많이 쓰이는 도구이기도 하다. 하지만, 무료 도구가 아닌관계로 트라이얼버전의 사용때문에 불편한 점이 없지 않으며, 시스템에 설치해야 한다는 단점이 있다. 이 도구는, 아래와 같이 [EventLog], [Snapshot], [Users], [Jobs] 기능으로 구성되어 있으며, 각 기능의 역활은 아래와 같다.

<인터페이스 구성>

□ EventLog: 시스템 로그 View

□ Snapshot: 현재 시스템 상태(레지스트리, 파일, 사용자, 등등)를 캡처 ( 이미 저장된 Snapshot과의 비교분석이 가능하다. )

□ Users: 시스템 사용자 View

□ Jobs: 작업 스케줄러 View

 

※ 다운로드: Winalysis v3.1

 

인터페이스

결과 출력 예 

 

 

 

 

 

2. [Regshot 1.8.2]

: 이 도구 역시 레지스티리와 파일의 변경내역을 비교하여 출력 가능한 도구이다. 이 도구의 장점은 매우 빠른 비교분석이 가능하다는 점과, 비교 결과를 텍스트형태뿐만이 아닌, HTML페이지 파일로도 선택하여 볼수 있다는 점이다. 또한 설치과정도 필요하지 않음.

<인터페이스 구성>

□ Compare logs save as: 비교 결과를 저장할 문서의 타입

□ Scan dir..: 검색 대상

□ 1st shot: 비교전 시스템 스냅샷

□ 2st shot: 현재 시스템 스냅샷

□ compare: 비교시작

※ 다운로드: Regshot

 

인터페이스

결과 출력 예 

 

 

 

 

 

3. [InstallWatch Pro v2.5c]

: 이 도구는 위의 [Winalysis]와 유사하며, 이 버전에서의 사용은 무료인 장점이 있다. 또한, All Files, INI Files, Registry 비교 분석이 가능하다.

<인터페이스 구성>

□ install: 비교전 시스템 상태 스냅샷

□ Config: 설정

□ Snapshot: 현재 시스템 상태 스냅샷

□ Analyze: 비교전과 현재의 스냅샷을 비교, 결과출력

※ 다운로드: InstallWatch Pro

 

인터페이스 

결과 출력 예 

 

 

 

 

4. [SystemSherlock Lite v1.0.0]

: 이 도구는 Command Line 인터페이스가 제공되며, 매우 상세한 값비교가 가능하다고 한다. (나도 써보진 않았음)

※ 다운로드 및 매뉴얼은 아래의 URL을 통해 확인 가능.

SystemSherlock Lite

 

위에 설명한 도구외에도 다양한 도구들이 더 존재하며, 여기서 다루지 않는 이유는 그러다보면 끝도없을 까바....(농담입니다.^^)

대략, [InstallSpy v2], [SpyMe Tools v1.5] 등등이 더 있으니 확인하고자 하시는 분들은 직접 검색, 확인해 보시길..^^

And