디지털 포렌식 문제 풀이 방향제시

Q. 디지털포렌식 문제 1 

 

해당 시나리오에서 사용할 만한 툴좀 알려주세요.

 

 

A PC는 바이러스로 인해 감염됬다. (네트워크차단상태)

1-1 바이러스 경로는? 

1-2 무슨 바이러스인가

1-3 어떤 루트를 통해 감염됬는가

1-4 행위는?

 

 

위 시나리오에 적합한 도구가 뭐가 있을까요?

 

일단 사고발생 PC인 A PC에 필요한 도구들이 다 깔려있는 상태라고 가정합니다. 

 

그 중에서 보유하고 있는 도구는 다음과 같습니다.

 

Process Explorer  - 프로세스 감시도구

Olydbg 및 IDA - 프로그램 분석

WireShark - 네트워크 패킷 분석 도구

REGA_v1.5.2.2 - 레지스트리 분석 도구

WEFA v1.4.2 (Lite) - 웹 로그 분석 도구

TCP VIEw - 네트워크 상태 모니터링

kali-linux-2018.4-amd64 - 해킹 분석 도구

 

 

A. 

 

1-1 바이러스 경로는?
동적 분석 도구를 통해 파악 가능하지만, 최초 위치를 파악하기 위해서는 시스템로그(이벤트, MFT 등)에 대해 분석이 필요 할것으로 보입니다.
그 이유로는 감염될때 메일 OR DBD를 통해 받았다면 임시폴더가 될수 있기 때문입니다.

1-2 무슨 바이러스인가
올리디버거, IDA를 통해 파악이 가눙 합니다.

1-3 어떤 루트를 통해 감염됬는가
웹로그, 이벤트로그, 캐쉬 등으로 분석 가능합니다.

1-4 행위는?
동적분석 프로그램 및 레가를 통해 파악 가능합니다.