[Mac Forensics] 동작중인 Mac 조사하기 (01)

안녕하세요. 도깬리 포렌식스입니다.

오늘은 동작중인 Mac 에 대한 포렌식 방법론을 알아보겠습니다. 모두 화이팅하세요!!!

 

Restrict Access

컴퓨터에 대한 물리적인 접근을 제한하도록 조치해야 합니다.

현장에서 Mac 만을 담당할 전문 포렌식 분석관을 지명하는 것이 좋습니다.

물론 다른 팀원들도 도움을 줄 수 있으나, Chain-of-custody와 디지털 증거의 보존을 위해서는 한 명의 전문가가 전담하는 것이 더 바람직할 수 있습니다.

 

Destructive Processes

조사과정에서는 증거 인멸 등에 대한 의심을 갖고 명백한 단서를 찾아 보아야 합니다. (Look for any obvious signs of destructive processes)

Mac에 내장되어 있는 것이 증거를 인멸하는 가장 빠른 방법이라는 인식도 갖고 있어야 합니다. (Built-in to the Mac are quick methods of destroying data)

dock에서 현재 실행중인 프로그램을 찾아야 합니다. 

 

 

활성데이터 (Volatile Data)

RAM dump를 수집합니다.

Volatile Data를 수집합니다.

목표는 가장 최근의 행위 흔적을 조사하기 위함인데, 이것이 조사자가 RAM을 먼저 수집하려고 하는 이유입니다.

RAM을 수집하기 위해서는 Admin 패스워드가 필요합니다.

Volatile Data를 수집하게 되면 Hacker 또는 Malware의 방어기술을 제거하는데 도움이 됩니다.

휘발성 데이터를 수집하기 전에 네트워크를 차단하지 않는게 좋습니다.

 

 

암호화 (Encryption)

System Preferences “Security and Privacy”를 살펴 보고, FileVault가 활성화 되어 있는지 확인해야 합니다.

3rd 파티 암호화의 흔적이 있는지 찾아보아야 합니다.

마운트된 암호화된 컨테이너 또는 볼륨이 있는지 확인하여야 합니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : MAC Forensics Training Event 2016 (IACIS)