[Mac Forensics] Single User Mode와 휘발성 데이터 수집

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 Mac에서의 Single User Mode와 휘발성 데이터 조사하기에 대해 알아봅니다. 모두 화이팅 하세요!!!

 

Single User Mode

컴퓨터에서 날짜와 시간을 획득하는 것은 조사과정에서 매우 중요한 절차입니다.

조사자는 시스템 시각이 정확한 것인지 먼저 확인해야 합니다.

조사는 미디어에 변경이 일어나지 않는 방식으로 이루어 져야 합니다.

PowerPC Macs에서는 Open Firmware Mode(Command + Option + O + F)로 진입하는 방식으로 진행되기도 합니다.

Intel Macs의 경우에는 Open Firmware Mode를 이용하지 않기 때문에 Single User Mode를 사용하여야 합니다.

Single User Mode를 이용하게 되면 읽기 전용으로 Root 권한으로 접근을 할 수 있게 됩니다.

 

수행과정

1. 시작에서 Command + S 키를 누릅니다.

2. Root 프롬프트에서 date를 입력합니다.

3. 날짜, 시간, 타임존이 정확한지 확인합니다.

4. Root 프롬프트에서 sw_vers를 입력합니다.

- 설치된 Mac OS X 버전과 빌드번호를 확인하기 위해서입니다.

5. Root 프롬프트에서 system_profiler SPHardwareDataType를 입력합니다.

- 시스템 하드웨어와 시리얼 넘버를 확인하기 위해서입니다.

6. system_profiler SPHardwareDataType는 시스템 정보를 보여줍니다.

7. 모니터 화면을 채증하거나 수집용 드라이브로 내보내기 하여 문서화 합니다.

 

 

휘발성 데이터 수집 개요

휘발성 데이터는 동작 중인 시스템(Live system)에서의 모든 데이터로 정의될 수 있는데, 이것은 전원이 차단되면 더 이상 이용할 수 없는 데이터라고 할 수 있습니다.

휘발성 데이터의 예

- 메모리의 내용, 실시간 프로세스, 시스템 정보, 저장되지 않은 데이터(문서, 채팅 내용 등)

암호화에 대한 이슈 이외에도 조사자는 동작 중인 컴퓨터를 압수하는 작업을 할 때 휘발성 데이터에 관심을 기울여야 합니다.

 

휘발성 데이터 수집을 위한 명령어 (Commands for Collecting Volatile Data Info)

date

- 현재의 시스템 날짜, 시각과 타임존을 보여줍니다.

history

- 명령어창에서 실행한 명령어의 이력을 보여줍니다.

ps –ax

- 실행중인 프로세스에 대한 스냅샷을 보여줍니다.

ifconfig

- 네트워크 디바이스 목록과 설정에 관한 목록을 보여줍니다.

id

- 사용자 목록을 보여줍니다.

lsof

- 열린 파일에 대한 목록을 보여줍니다.

who

- 현재 로그인한 사용자를 보여줍니다.

ls –lRain

- 최상위 Root에서부터 파일의 목록을 Recursive하게(하위 개체까지 모두) 보여 줍니다.

jobs

- 활성화된 jobs의 목록을 보여줍니다.

mount

마운트된 볼륨의 목록을 보여줍니다.

netstat

- 네트워크의 상태를 보여 줍니다.

 

참고사항

피조사자의 컴퓨터 안에 존재하는 프로그램을 조사에 이용해서는 안됩니다.

조사용 외장하드 드라이브는 Trusted Utilities Disk이어야 합니다.

암호화가 적용된 시스템은 Live 상태에서 획득해야 합니다.(It may be advisable to copy out the data you have access to while the system is running.)

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : MAC Forensics Training Event 2016 (IACIS)