Basic Window Live data collection script 1 (작성 중)

본 티스토리 블로그는 PC 환경에 최적화되어 있습니다.

모바일 유저분들은 아래 네이버 블로그를 이용해 주세요.

 

Basic Window Live data collection script 1 (작성 중)

 

 

현장에 도착하면 대면 조사하기에 앞서 현장 보존이 우선적으로 진행돼야 하고,

마찬가지로 포렌식 작업 진행시 원본 대상의 수정을 최소화하여 증거를 수집해야 합니다.

 

현장 장비에서 얻을 수 있는 디지털 증거의 타입은 크게 활성 데이터와 비활성 데이터로 나뉩니다.

이번에 제가 작성 중인 쉘 스크립트도 바로 이 활성 데이터들을 추출해 주는 녀석입니다.

(물론 수집 항목의 출력 포맷도 적절히 수정해야 하지만 ....)

 

수집할 항목은 다음과 같습니다.

 

# 수집당시 호스트의 시간 기록
get-date | Set-Content "./HOST_gather/time.txt"

# 호스트 네트워크 연결 정보 기록
netstat -anp | Set-Content "./HOST_gather/network_connet_history.txt"

# 프로세스 정보 기록
ps | Set-Content "./HOST_gather/process_infomation.txt"

# 로그온 사용자 기록
get-eventlog system -source microsoft-windows-winlogon | Set-Content "./HOST_gather/login_event.txt"

# 현재 실행중인 프로세스의 DLL 목록을 불러옵니다.
Get-Process chrome | select -ExpandProperty modules | group -Property FileName | select name | Set-Content "./HOST_gather/process_dll.txt" 

# 핸들 정보 기록

# 열린 파일 정보

# 열린 프로세스와 포트 매칭

# 명령 히스토리

# 서비스 목록

# 네트워크 인터페이스 정보

# 내부 라우팅 정보

# 예약된 작업

# 클립보드 정보

# 네트워크 드라이브와 공유 폴더

# 넷 바이오스 이름

 

 

아직 코드 작성도 제대로 안됐고 추출 포맷도 엉망이지만,

항목에 맞춰서 정보를 추출한 뒤 엑셀 파일이나 파이썬으로 시각화하는 것이 최종 목표입니다.

 

일단 계속 작성해 봐야겠군요...