병철 02-15

하다 못해 켜져 있는 상태에서 실시간으로 RAM 데이터 덤프 해 가서 포렌식 할 수도 있어서 별로 이상하지는 않네요. 끄면 휘발되니까요.

허어 02-15

그냥 단순하게 덤프 가 아니라 포렌식을 하려면 절차 와 인증되어진 툴 등 여러가지 부분들이 있어서
막연하게 덤프 만들어서 하면 된다...로 하기는 확인되어야 할 부분들이 있을겁니다..

병철 02-15

그건 당연하고.. 본문 작성자분은 운영 중에 포렌식을 위한 데이터 확보가 가능하냐고 질문하셔서요.

허어 02-15

정보가 없어서 변수가 너무 많아요
OS 가 무엇인지
서버 구성이 어떤지
어떠한 데이터가 목적인지 등등

술이 02-15

데이터베이스 서버들은 민감한 데이터라면 운영중인걸 핸들링하는게 맞을거 같아요. 이유는 임시테이블 기능을 자주 쓰기 때문에 서비스 중지하는 순간 임시테이블 전부 사라지기 때문입니다.

레인보우7 02-15

전원을 차단하지 않고 온라인으로 하겠다는 얘기는 휘발성 데이터도 수집을 하겠다는 얘기로 생각이 드네요.
원격이든 콘솔이든 해당 서버에 슈퍼(root,sa)권한으로 접근해야 메모리나 디스크 파일시스템, 로그, 프로세스, DB 등 각종 자료를 수집하지 않을까 싶습니다.
추출하는 툴들은 다양하게 있어서 고가의 툴이나 DIY 로 현장에서 사용하기 편한 종합선물세트 툴이 있지 싶습니다.

추출 데이터를 받는 방식은 저장매체를 연결해서 이용하거나 nas?처럼 네트웍으로 받으면 편하긴하겠네요.
받은 여러종류의  데이터들은 분석툴에 집어 넣으면 상관도랑 관련 연관 정보를 아주 이쁘게 보고서로 만들어주지 않을까 싶습니다.

인천I베리 02-15

운영 중인 서버를 끄게 되면 그로인한 피해등을 감수할 필요가 없이 운영중인 서버에서 간단하게 데이터 수집을 해가는 경우가 많습니다.

최근 다행 스럽게 제가 있는 곳은 아니지만 동종 업계에 압수 수색이 들어와서 DB 를 그냥 운영중인서버에서 운영에 영향 없이 바로 가져가는 일이 있었습니다.

나로와 02-15

조언주신분들 감사합니다 자체툴을 USB에 담아 와서 그걸 실행시켜서 데이타를 생성하고 담아가겠다고 합니다
참고로 윈도우 리눅스 서버 PC등등 여러가지입니다 ㅜㅜ

레인보우7 02-15

문득? 가볍게 usb에 exe 돌리로 오시는분들을 위해서 사전에 보안SW나 DLP 부분 있으시면
미리 사전에 시뮬레이션하셔서 문제가 없는지 체크해보시는것도 작업시간을 줄이는 방법일것 같습니다.
감사를 받으시는 수준의 시스템 정도이시면  내부 정교한? 보안SW들이 가만히 넋놓고 있지는 않을듯합니다.

정의석 02-17

포랜식이라고 무조건 1대1로 디스크 이미지를 떠가는건 아닙니다.
db서버라면 아마 db백업 수준일듯 합니다. db를 백업 후 그 백업파일의 해시값정도를 계산한다는 의미일것 같습니다.
관련 업계(?)에서 일을 한 경험으로 봤을 때, 현재 국내에 db서버를 온라인상태에서 디스크 이미지를 떠 갈 감사업체는 없을듯 합니다.
그리고 db서버는 디스크 이미지를 떠 가면 그걸 다시 dbms에 올려서 데이터를 보는것이 그리 녹록한 일은 아닙니다.
서버 데이터는 그냥 온라인 백업정도일듯 하고, 일반 사용자 pc나 포렌식 프로그램 돌리는 수준일겁니다.