침해사고가 발생된 시스템의 초기분석 과정에서 빠질 수 없는 것이 공격 후의 시스템내 변경내역을 추적하는 것이다. 이는 곧 공격자의 행위를 파악할 수 있기도 하거니와 피해범위를 산정하기 이한 작업이기도 하다. 하지만, 시스템의 변경을 추적한다는게 말처럼 쉽지는 않다. 다른 분석과정처럼 현 시스템의 어느부분이 변경되었으며 어떻게 악의적인 동작을 하는지 확인하는 방법이 쉽지않기 때문이다.
따라서, 여기서는 초기분석 시, 시스템의 변경을 추적하여 분석/접근하는 방법에 사용 가능한 도구를 소개하여 기록하고자 한다.
1. [Winalysis 3.1]
: 가장 많이 알려진 도구이기도 하고, 가장 많이 쓰이는 도구이기도 하다. 하지만, 무료 도구가 아닌관계로 트라이얼버전의 사용때문에 불편한 점이 없지 않으며, 시스템에 설치해야 한다는 단점이 있다. 이 도구는, 아래와 같이 [EventLog], [Snapshot], [Users], [Jobs] 기능으로 구성되어 있으며, 각 기능의 역활은 아래와 같다.
<인터페이스 구성>
□ EventLog: 시스템 로그 View
□ Snapshot: 현재 시스템 상태(레지스트리, 파일, 사용자, 등등)를 캡처 ( 이미 저장된 Snapshot과의 비교분석이 가능하다. )
□ Users: 시스템 사용자 View
□ Jobs: 작업 스케줄러 View
※ 다운로드: Winalysis v3.1
인터페이스 |
결과 출력 예 |
|
|
2. [Regshot 1.8.2]
: 이 도구 역시 레지스티리와 파일의 변경내역을 비교하여 출력 가능한 도구이다. 이 도구의 장점은 매우 빠른 비교분석이 가능하다는 점과, 비교 결과를 텍스트형태뿐만이 아닌, HTML페이지 파일로도 선택하여 볼수 있다는 점이다. 또한 설치과정도 필요하지 않음.
<인터페이스 구성>
□ Compare logs save as: 비교 결과를 저장할 문서의 타입
□ Scan dir..: 검색 대상
□ 1st shot: 비교전 시스템 스냅샷
□ 2st shot: 현재 시스템 스냅샷
□ compare: 비교시작
※ 다운로드: Regshot
인터페이스 |
결과 출력 예 |
|
|
3. [InstallWatch Pro v2.5c]
: 이 도구는 위의 [Winalysis]와 유사하며, 이 버전에서의 사용은 무료인 장점이 있다. 또한, All Files, INI Files, Registry 비교 분석이 가능하다.
<인터페이스 구성>
□ install: 비교전 시스템 상태 스냅샷
□ Config: 설정
□ Snapshot: 현재 시스템 상태 스냅샷
□ Analyze: 비교전과 현재의 스냅샷을 비교, 결과출력
※ 다운로드: InstallWatch Pro
인터페이스 |
결과 출력 예 |
|
|
4. [SystemSherlock Lite v1.0.0]
: 이 도구는 Command Line 인터페이스가 제공되며, 매우 상세한 값비교가 가능하다고 한다. (나도 써보진 않았음)
※ 다운로드 및 매뉴얼은 아래의 URL을 통해 확인 가능.
위에 설명한 도구외에도 다양한 도구들이 더 존재하며, 여기서 다루지 않는 이유는 그러다보면 끝도없을 까바....(농담입니다.^^)
대략, [InstallSpy v2], [SpyMe Tools v1.5] 등등이 더 있으니 확인하고자 하시는 분들은 직접 검색, 확인해 보시길..^^
'보안 > 분석기술' 카테고리의 다른 글
[malware 분석]urlQuery.net 활용방법 (0) | 2013.03.28 |
---|---|
네트워크/시스템 취약점 스캔/분석 기술(1) (0) | 2012.11.29 |
[스팸메일] 메일 헤더의 Bcc, return-path, Recived 추적 (0) | 2012.10.16 |
[Pack/UnPack]엔트로피 실행 압축 확인&해제 기법 (1) | 2012.10.15 |
패킷파일에서 데이터(파일) 추출하기 (0) | 2012.09.17 |