[2024.10.25]
[Windows 침해사고]
01. WFA(Windows File Analyzer)
> 최근 실행된 프로세스 정보 확인
02. LastActivityView
> 최근 설치 및 생성된 파일 및 폴더 확인
실행하게 되면 현재 오늘까지 설치 및 생성된 파일과 폴더를 확인할 수 있다
XP로도 확인하고 Windows 7으로 넘어와서 크롬을 다운로드했다
확인 시 자세히는 나오지 않지만 다운로드했다는 기록은 확인된다
03. 파일 시스템 무결성 점검
c:\ sfc /scannow
시스템의 디스크까지 모두 점검하기 때문에
시간이 오래 걸려 중간에 중단했지만
이런 식으로 진행되는 것만 알고 있으면 된다
04. 숨겨진 파일 정보 검색
> dir /ah 또는 dir /ashr
이런 식으로 숨겨진 파일 정보를 검색할 수 있다
XP에서도 숨겨진 파일 정보를 검색하는 명령어를 실행해 봤다
디렉터리를 전환하여 숨김 파일까지 확인할 수 있다
05. 은닉된 프로세스 및 드라이브 확인
> PCHunter.exe
프로그램을 실행하면 이런 식으로 한눈에 확인할 수 있다
가장 자주 보고 중요한 네트워크, 레지스트리, 파일까지 확인할 수 있다
06. 동작 중인 프로세스 목록 출력
> procexp, procmon
07. 실행 중인 서비스 속성 확인
c:\ sc query
08. 실행 중인 프로세스에서 참조하는 모듈 확인
c:\ tasklist /m
09. TCP/IP, MAC 등의 정보 출력
> ipconfig /all
> ipconfig /release <-- IP 주소 해제
> ipconfig /renew <-- IP 주소 다시 가져오기
10. DNS Cache 출력
c:\ ipconfig /displaydns
11. DNS Cache 삭제
c:\ ipconfig /flushdns
12 ARP 테이블 확인
c:\ arp -a
13. 연결된 세션 확인
c:\ net session
현재는 연결된 세션이 없기 때문에 목록에 항목이 없다고 뜨게 된다
14. 관리 목적 상 사용하는 공유 숨김 디렉터리 출력
c:\ net share
15. 라우팅 테이블 확인
c:\ netstat -nr
c:\ route print
*둘 다 라우팅 테이블 확인 명령어다
16. 최근 웹사이트 접속한 이력 확인
> browsinghistoryview.exe
각각의 브라우저를 열고 페이지를 접속하게 되면
해당 프로그램에서는 접속한 이력을 확인할 수 있다
17. USB 사용 기록 확인
> USBeview.exe
18. 윈도우 로그 확인
> eventview
윈도우 검색창에 eventview를 검색하면 이벤트 로그 보기가 나온다
윈도우에서의 로그는 이벤트 뷰어에서만 확인할 수 있다
먼저 이벤트 뷰어에서의 로그가 뭐가 있는지 꼭 알아야 된다
정보보안기사 시험에서 윈도우 로그의 응용 프로그램에서
수준, 날짜 및 시간, 원본, 이벤트 ID, 작업 범주를 적는 시험도 나왔었다
*강사님 피셜입니다
탐색기에서 해당 경로로 이동해서 확인한다
웹 서버라면 w3svc 이런 식으로 저장되며,
웹 서버의 로그 파일은 해당 디렉터리에 저장되는 걸 기억하면 된다
강의 소감
오늘로 윈도우 침해사고의 종류 파트를 마무리했다
이전 강의와 비슷하게 침해사고에 사용하는 각종 프로그램과
셸 명령어들을 통해서 확인할 수 있는 것들을 배웠다
마지막으로 이벤트 뷰어에서 로그 확인하는 방법까지 확인했다
다음 강의에서는 메모리 침해사고에 대해서 알아볼 예정이다
지금까지 배운 방법들로 꼭 침해사고가 아니더라도
평소에 쓸 만한 때가 있다면 모두 외워서 사용하기 좋은 명령어들이 많았다
