맨땅에 헤딩하기

리눅스 포렌식 두번째입니다…

파일 복구 관련 내용을 포스팅 하기로 했죠..

파일이 오픈되어 메모리상에 올라와 있을경우 해당 파일이 삭제되도러도 복구가 가능한 상태가 있는데요..이런경우 어떻게 하는지 알아보겟습니다.

현재 프로세스 정보는 /proc/<PID>에서 확인 가능합니다.

메모리상에 올라온 파일 점유시 /proc 디렉토리 상태

#cd /proc/<PID>/fd  <PID>는 해당 프로세스 번호입니다.

#ls -al

lrwx------ 1 root root 64 Apr 29 13:03 3 -> /dev/tty

lrwx------ 1 root root 64 Apr 29 13:03 4 -> /root/hidden.txt

메모리상 올라온 파일 삭제시 /proc 디렉토리 상태

# ls -al

lrwx------ 1 root root 64 Apr 29 13:03 3 -> /dev/tty

lrwx------ 1 root root 64 Apr 29 13:03 4 -> /root/hidden.txt (deleted)

삭제된 파일의 복구는 파일 디스크립터 번호만 복사해 주는 것으로 가능

# ls -al

lrwx------ 1 root root 64 Apr 29 13:03 3 -> /dev/tty

lrwx------ 1 root root 64 Apr 29 13:03 4 -> /root/hidden.txt (deleted)

#cp 4 /tmp/4.recovered

이제 파일시스템 상의 삭제 파일복구에 대해 알아보기로 합니다.

리눅스 자체적으로 지원하는 파일시스템의 삭제파일 복구는 debugfs를 이용 합니다.

대부분의 리눅스 배포본에서 기본적으로 설치 되어 있습니다.

ext2파일 시스템에서는 특정 파일이 삭제시 실제 파일은 데이터 블록에 그대로 위치 하며,

i-node 테이블의 정보맘ㄴ 삭제되어 복구 가능합니다.

ext3 시스템에서는 i-node테이블 정보뿐만 아니라 디렉토리 엔트리, 해당 블록의 주소 정보까지 지워짐으로 파일의 위치정보가 대부분 삭제 됩니다. Logdump 이용 방법이 있으나 완벽하지 않습니다.

ext2에서 debugfs를 이용한 파일 복구를 알아봅니다.

안전한 파일 복구를 위해 마운트된 파티션을 해지하고 작업하도록 합니다.

# debugfs /dev/hda3

debugfs 1.39 (29-May-2006)

debugfs:  è debugfs 명령 프롬프트

debugfs:  lsdel è 삭제된 파일 리스트

 Inode  Owner  Mode    Size    Blocks   Time deleted

   22       0  100644  58313   13 / 13 Sat Apr 4  13:00:02 2009

43       0  100644   3013    4 /  4 Sat Apr 4  13:03:02 2009

16       0  100644   5413   13 / 13 Sat Apr 4  13:10:02 2009

3 deleted inodes found.

debugfs : stat <16> è 삭제된 파일의 상세 정보확인

: i-node, mode, MAC Time,  Size 등 정보 출력, < > 사용 필수

복구는 dump 명령어 이용하며 비 할당 영역에 위치한 파일을 지정된 파일명으로 복구한다.

debugfs : dum <16> /recover/16.dumped (16은 stat 명령으로 확인한 i-node 번호)

debugfs : quit

# ls –al /recover/16.dumped

-rw-r--r--  1 root    root     5413 Apr 29 22:24 /recover/16.dumped

위와 같이 복구 되었음을 확인할수 있다.

그러면 리눅스 기반의 포렌식 도구들은 어떤게 있을까..

일단 command 기반 포렌식 도구들을 살펴보면..

l  The Coroner’s Tool kit

: 초기 유닉스 기반의 포레식 toolkit으로 리눅스에서 사용가능하며, 뒤에 나오는 포렌식 tool에 영향

l  The Sleuth Kit

: TCT 기반으로 리눅스뿐만 아니라 윈도우 용으로 개발되어 배포 되고 있음.

l  Foremost, Scalpel

: 파일 복구전용 Toolkit으로 삭제,손상 파일의 header나 footer 정보 이용하여

. 빠르고 쉽게 복구 지원함

Bootable CD로는…

l  FIRE

l  KNOPPIX

l  FCCU GNU / Linux Forensic Bootable CD

l  Penguin Sleuth Kit Bootable CD

l  Helix

l  STD

l  BackTrack

우선 Sleuthkit에 대해 알아봅니다.

다운로드는 http://www.sleuthkit.org/sleuthkit/download.php 에서 하시면 됩니다.

현재 V 3.0.1이 최신이네요..(저도 설치는 아직 안해봤슴다..)

설치는 간단히 ./configure ;make; make install 하시면 됩니다.

중요 Sleuthkit 명령어(?)에 대해서 알아 봅니다.

mmls : 분석할 디스크 레이아웃과 전체 파티션 스키마 취득, 물리적 디스크만 분석 가능

(스냅샷으로 획득한 이미지 파일에서는 사용 못함)

img_stat : 스냅샷을 작성한 파일과 원본 디스크 또는 파티션 정보 확인

fsstat : 파일시스템 정보 확인, 블록수와 파일시스템 종류등의 기본정보 확인

fls : 지정된 파티션의 파일과 디렉토리들의 삭제 정보 확인, 삭제된 파일들 리스트 출력시 사용

ils : 파일의 i-node값과 복구 가능여부 확인

icat : 실제 삭제 파일 복구

나머지 tool은 개별적으로 확인 해보시기 바랍니다. 수업시간에는 Helix 하고, autopsy 정도

화면 본듯합니다.

음…다음 포스팅은 디비 포렌식으로 접근해봅니다..

오늘은 말씀드린대로 리눅스포렌식 관련으로 정리해봅니다.

현재 대부분의 리눅스 기반포렌식 툴은 오픈소스(무료)툴로 제공되는경우가 많으며, 윈도우 기반 포렌식툴보다 유연한 운영 환경을 제공해주고 있습니다.

그렇지만 사용자 요구시 포렌식 tool에 대한 즉각적인 기술지원이 어렵고, 표준화된 절차 및 방법론, 사용법 관련 문서,샘플등이 부족하며, 윈도우에 비해 다양한 기능을 제공 못하고 있습니다.

윈도우 때 처럼 리눅스 파일시스템의 종류를 먼저 살펴보겠습니다.

저널링 기능이 없는 파일 시스템 : ext2

저널링 기능이 있는 파일 시스템 : ext3 , xfs, reiserFS, ffs, ZFS, JFS , ext4

현재 대부분의 리눅스가 채택하고 있는 저널링 파일시스템 형식은 ext3이며, 유닉스/리눅스는 파일시스템도 파일로 인식합니다.

파티션 설정 상태 확인은 “fdisk -l” 명령을 통해 확인 가능합니다.

리눅스 파일 시스템의 블록구조는 다음과 같다.
- boot block  : 부팅에 필요한 bootstrap code

- super block : 각 파일 시스템의 meta data 정보

- i-node block :  inode lists

- data block : 실제 데이터 및 디렉토리

그럼 i-node에는 어떤 정보들이 있는지 알아본다.

i-node : 파일 시스템 내의 모든 객체는 i-node로 표현되어짐

ð  File type, permissions, owener, group, file size, file MAC time, number of links

MAC time : 파일 디렉토리의 고유한 시간 속성 정보

- mtime : 파일의 최근 수정 내용

- atime : 파일의 최근 접근 시간

- ctime : 파일의 최근 속성 정보 수정 시간

rpm파일을 통해 알아 보는 간단한 포렌식에 대해 알아보자..

rpm 파일은 RedHat 기반의 바이너리 설치 파일 패키지이다.

rpm 패키지 자체의 checksum 기능 이용하여 설치된 파일들의 위변저 여부확인 가능

ex) rpm –Va

. . 5 . . . . T      /bin/ls

S . 5 . . . . T  c  /etc/crontab

출력 형식

S : file size differs

M : mode differs(permissions and file types)

5 : MD5 sum differs

T : mTime differs

U : User ownership differs

G : Group Uer ownership differs

이제는 디스크 스냅샷 작성을 해보자.

디스크 스냅샷에는 다음 명령어를 사용한다.

dd : 유닉스 또는 리눅스에 기본적으로 포함된 명령어로 디스크전체 또는 각 파티션에 대한

스냅샷 작성도구

사용법

# dd if=<source> of=<target> bs=<byte size> count=<blocks>

-       bs, count 옵션을 이용하여 특정부분이나 사이즈만 복제 가능

메모리 스냅샷은 디스크와 동일하지만, 유의가 필요하다.

# dd if=/dev/mem of=memdump.dd conv=noerror,sync

è  Noerror, sync 옵션을 사용 안하면 계속 진행 불가

스냅샷을 작성 했으며 체크섬 값을 이용한 무결성 인증한다.방법은 다음과 같다.

è  md5,sha1을 이용하여 파일의 무결성을 체크하고 검증하는 일반적 방법

ex) # md5sum image.dd > mysum.md5

   .# md5sum -c mysum.md5

다음 시간에는 파일 복구에 대해서 알아보기로 하겠습니다.