시스템 시간 : date랑 time으로 수집 가능 (커맨드로 수정시 기록에 남지 않는다)
네트워크 연결 정보 : netstat 명령어를 통해서 수집 가능
프로세스 : 어떤 행위가 일어난 근거를 파악가능 수집방법 : Tasklist
핸들정보 : 핸들이 실제로 가리키고 있는 오브젝트는 레지스트리에 기록 수집방법 : sysinternals.com에서 만든 Handle.exe를 사용
DLL 목록 : 침해사고가 일어날 경우 DDL 목록을 얻어와 분석가능 Sysinternals.com에서 만든 ListDlls.com라는 도구로 얻을수 있음
로그온 사용자 정보 : net session이라는 명령어를 통해서 원격으로 로그온한 사용자의 정보를 파악 가능
윈도우의 서비스 정보 : 어떠한 악성 프로그램이 서비서에 등록되어 사용자 몰래 실행되고 있는지르 판단할 수 있음. Psservice라는 도구 사용
시작 프로그램 목록 정보 : OS에 의해 자동으로 시작되는 서비스를 말함. 해커는 여기에 악의적인 행위를 하기 때문에 이 목록을 필수 분석 autorunsc.exe 도구 사용
라우팅 테이블 정보, 네트워크 인터페이스 정보 : 라우팅 테이블은 개인 PC에도 있기 때문에 이것을 통해서 네트워크 데이터 흐름을 조절 정보 수집 방법에는 netstat -r 을 사용
클립보드 정보 : 클립보드는 복사, 붙여넣기한 정보들이 저장되어 있는곳. 시스템이 종료되기 전까지 정보가 유지. XP에서는 clipbrd를 사용해야함
네트워크 공유 폴더 정보 : 시스템이 공유 폴더를 사용하고 있을 경우 분석범위를 넓히기 위해서 사용. net use 명령어 사용
NetBios 정보 : 데이터를 교환할 때 정하는 이름으로 TCP/IP 프로토콜 사용. 데이터를 교환할경우 상대방의 정보가 테이블 형태로 저장되며 테이블은 600초 동안유지 정보수집은 nbtstat -c를 통해 가능
NetBios 접미사 목록 : 사진 첨부
프로세스 메모리 : 프로세스는 코드와 DLL 파일, 실행 전체 경로 등을 가상메모리에 업로드. 프로세스 덤프란 프로세스가 사용하는 가상 메모리를 덤프함으로써 정보 얻을수 있음. userdump.exe도구 사용
건듀의 포렌식 공부 (윈도우 정보수집)