encase 써본적은 없지..침해사고 이미지를 어떻게 마운트 시켜야하나 고민도 되고 했는데..
검색해보니 아래 블로그가 있네..테스트 해봐야하는데..ㅋㅋㅋ
기록 차원에서 남겨 놓는다.
1. encase 분석 시스템에 real 일 경우
2. encase 분석 시스템도 vmware일 경우
- 피해시스템에 용량이 부족하여 원격 시스템으로 dd 이미지를 넘기는 방법
dd if=/dev/sda1 bs=512 | (ssh root@192.168.100.8 dd of=/root/Desktop/evidence_imgae.img)
- 해당 이미지를 분석 vmware로 이동..
또 다른 원격 방법
# nc -l -p 10000 > target.hdd2.dd (원격지에서..)
# dd if=/dev/hda2 bs=512 | nc 원격지 주소 10000 -w 3
-l (Listen mode)
-p 10000 ( 10000 포트 사용)
-w (time out, 마지막 읽고 난 뒤 종료할 시간 설정)
'보안 이야기' 카테고리의 다른 글
| 보안솔루션 로그 백업 보관 기간 (0) | 2013.10.24 |
|---|---|
| [대학원] 침해사고 이미지 분석-1 (패스워드 변경하기) (0) | 2013.10.04 |
| IT 보안 솔루션의 위험기반 자산측정 방법 (0) | 2013.02.27 |
| 일선 사업장 '줄줄 새는 개인정보' (0) | 2012.10.29 |
| Mass SQL Injection- nikjju.com 와 hgbyju.com (0) | 2012.05.04 |
