[Mac Forensics] 동작중인 Mac 조사하기 (02)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 동작중인 Mac 조사하기 두번째 시간입니다. 모두 화이팅 하세요!!!

 

Virtual Machines 확인하기

모니터 스크린, 연결된 미디어, 디바이스, 케이블과 주변장치를 채증해야 합니다.

Mac에서 다양한 운영체제를 구동할 수 있고, 3rd 파티 가상 머신을 이용하여 구동할 수도 있습니다.

대부분의 가상머신 어플리케이션은 풀 스크린에서 동작하게 할 수 있습니다.

“Spaces”

다중 가상 데스크탑(multiple virtual desktops)에 대한 Mac OS X 버전입니다

활성화된 Mission Control이 gesture, Control + left/right 또는 F3 키를 이용하여 확인됩니다.

 

 

Mounted Volumes 확인하기

마운트된 볼륨을 확인해야 합니다.

이것은 데스크탑에서 보일 수도 있고, 보이지 않을 수도 있을 겁니다.

마운트된 네트워크 드라이브를 확인하는 것도 잊지 말아야 합니다.

Time Machine disks(백업 디스크)를 찾아 보아야 합니다.

 

 

Screen Saver or Sleeping macs 해제하기

화살표 키를 누르거나 마우스를 움직여서 수면 모드(sleep mode) 또는 화면 보호기(screen-saver)에서부터 시스템을 정상화 시켜야 합니다.

시스템을 깨우고 패스워드 입력 단계에 오면 구형 시스템용 Inception과 같은 도구를 이용하여 공격을 시도해 볼 수도 있습니다.

 

 

Power Nap

Mac OS X Mountain Lion (2012, v10.8) 이후 버전은 Power Nap으로 불리워지는 새로운 기능을 제공하고 있습니다.

 

Hard Shut Down

Hard shut down은 데이터 보존의 하나의 방법이기도 합니다.

Normal shutdown을 하게 되면 시스템의 최적화(optimization)로 인하여 데이터를 잃는 위험이 있습니다.

10초간 전원 버튼을 누르기 --> 강제 종료 (hard shutdown)

 

 

FileVault 설정된 Mac 확보하기

RAM dump와 Volatile data를 먼저 수집합니다.

복호화가 되어 있는 동안 홈 디렉토리를 복사해 둡니다.

파일시스템에 대한 일부 변화는 불가피한 측면이 있습니다. 다만 그 과정을 문서화하여 두는 것이 좋습니다. (You will make small changes to the file system. Document your action.)

대부분의 증거는 사용자의 홈 디렉토리에서 발견될 것 입니다.

단순히 우클릭하여 “Encrypt…”를 선택하는 것으로 쉽게 FileVault 암호화를 할 수 있기 때문에 연결된 미디어(USB 드라이브)를 인식하고 있어야 합니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : MAC Forensics Training Event 2016 (IACIS)