보안 걱정이

encase 써본적은 없지..침해사고 이미지를 어떻게 마운트 시켜야하나 고민도 되고 했는데..

검색해보니 아래 블로그가 있네..테스트 해봐야하는데..ㅋㅋㅋ

기록 차원에서 남겨 놓는다.

1. encase 분석 시스템에 real 일 경우

VMware 디스크 이미지 마운트

2. encase 분석 시스템도 vmware일 경우

- 피해시스템에 용량이 부족하여 원격 시스템으로 dd 이미지를 넘기는 방법

dd if=/dev/sda1 bs=512  | (ssh root@192.168.100.8 dd of=/root/Desktop/evidence_imgae.img)

- 해당 이미지를 분석 vmware로 이동..

또 다른 원격 방법

# nc -l -p 10000 > target.hdd2.dd (원격지에서..)

# dd if=/dev/hda2 bs=512 | nc 원격지 주소 10000 -w 3

-l (Listen mode)

-p 10000 ( 10000 포트 사용)

-w (time out, 마지막 읽고 난 뒤 종료할 시간 설정)

교수님이 주신 리눅스 vmware 이미지..

이걸 분석해서 레포트를 작성해야한다..

이미지를 보니 계정입력 부터 난항이다..

그냥 아무생각없이 test/test 입력.. user계정 획득..사회공학..ㅋㅋㅋ

그러나 root 계정이 필요하다..^^;

아래 내용을 참고해서 루트 패스워드 변경하였다..

간단하네..

e 두번 누르고  kerner로 시작해서 quiet로 끝나는 라인 선택 후 e 누른 후 마지막에 1 입력 후 부팅~~

대충 보아하니 history와 로그 폴더를 보니 ftp와 관련된것도 있고..

로그 3개는 0byte이다..이래서 인케이스를 통해 분석도 하라고 하셨구만..^^;

생활코딩

http://opentutorials.org/course/1