Security
핸드북 - 침해사고 아티팩트 수집 항목
올엠
2026. 4. 27. 10:45
반응형
침해사고 아티팩트 수집 항목
OS별로 수집하는 주요 포렌식 아티팩트 요약
Windows 풀 포렌식 수집
NTFS 저수준 접근 포함
| 시스템 정보 | 호스트명, 드라이브 정보, 사용자 프로필 경로 |
|---|---|
| NTFS 메타데이터 | $MFT, $LogFile, $UsnJrnl, ADS |
| 스왑/페이지 | pagefile.sys, swapfile.sys |
| 레지스트리 하이브 | SAM, SECURITY, SOFTWARE, SYSTEM, DEFAULT, COMPONENTS + RegBack + 사용자 NTUSER.DAT, UsrClass.dat |
| 이벤트 로그 | winevt\Logs *.evtx + System/Security/Application/PowerShell CSV 변환 |
| 실행 흔적 | Prefetch, AMCache, LNK, JumpList, RDP Bitmap Cache |
| 웹 브라우저 | Chrome, Edge, Firefox, IE(WebCacheV01.dat), Naver Whale |
| 로그/기타 | IIS 로그, SetupAPI 로그, $Recycle.Bin |
| 실행파일 해시 | exe/dll/sys/ps1/bat 등 → MD5/SHA1/SHA256 (JSON) |
| 서비스/네트워크 | 전체 서비스 정보, netstat -f -n |
Windows_lite 라이브 경량 수집
| 기본 파일 | Prefetch, winevt 로그, Recent *.lnk, 웹 브라우저 5종 |
|---|---|
| 활동 흔적 DB | SRUM(srudb.dat), ActivitiesCache.db, wpndatabase.db, EventTranscript.db |
| PowerShell | ConsoleHost_history.txt |
| 부팅/종료 로그 | BootCKCL.etl, ShutdownCKCL.etl, Explorer ETL |
| 보안 로그 | Windows Defender MPLog-*.log, WER (*.wer) |
| 라이브 명령 | netstat -ano, tasklist, arp -a, systeminfo, net user/localgroup/share |
| 사용자 데이터 | C:\Users\ 전체 메타데이터 CSV (경로/크기/MAC 시간) |
Linux
| 시스템 기본 | /proc/version, /etc/os-release, uname -a, uptime, fdisk -l, /etc/fstab |
|---|---|
| 네트워크 | ifconfig, netplan, resolv.conf, hosts(.allow/.deny/.equiv), netstat -anp, 라우팅, arp, iptables |
| 계정 | /etc/passwd, /etc/group, /etc/shadow, /etc/sudoers, /etc/gshadow |
| 히스토리 | .bash_history, .sh_history, .history (전 사용자) |
| 자동 실행 | crontab, /etc/cron.*, /var/spool/cron, init.d, rc*.d, systemd, .bashrc, at -l |
| 로그 | /var/log/ 전체 |
| 로그온 | w, last, lastb, lastlog |
| 프로세스 | ps -eafww, pstree, top -n 1 -b, /proc/*/exe, lsof |
| 모듈/마운트 | lsmod, mount, df -h, smb.conf |
| rlogin/PAM | .rhosts, /etc/pam.conf, /etc/pam.d/rlogin |
| 명령어 무결성 | 주요 바이너리 which -a + ls -alH (ls, ps, netstat, lsof, mount, su, sudo 등) |
| 패키지 | rpm -qa/-Va, yum history, apt list, dpkg -l |
| 실행파일 해시 | ELF 파일 MD5/SHA1/SHA256 (CSV) |
macOS
| 시스템 정보 | GlobalPreferences.plist, SystemVersion.plist, SystemConfiguration plist |
|---|---|
| 감사 로그 | /private/var/audit/ → praudit -x -l XML 변환 |
| 히스토리 | .bash_history, .zsh_history, .history, .bash_sessions/ |
| 웹 브라우저 | Chrome, Safari (History.db, Bookmarks, Downloads, TopSites, CloudTabs 등), Firefox, Edge, Whale |
| 시스템 로그 | /private/var/log/system.log*, DiagnosticReports/Analytics* |
| 설치 이력 | /Library/Receipts/InstallHistory.plist |
| 네트워크 설정 | airport.preferences.plist, NetworkInterfaces.plist |
| SSH | ~/.ssh/ + ssh-keygen -l -f 핑거프린트 |
| 라이브 정보 | netstat -f inet -n, ps -Ao, pstree, lsof -P -n |
| 실행파일 해시 | Mach-O 파일 MD5/SHA1/SHA256 (CSV) |
반응형