운영중인 서버 포렌식 데이타 복사가 가능할까요?

UnBoxing more

쓰기

운영중인 서버 포렌식 데이타 복사가 가능할까요?

나로와

02-15

2024-02-15 11:06:32

조회 554 추천 0

쪽팔리면 질문하지 맙시다. 소중한 답변 댓글을 삭제하는건 부끄러운 일 입니다

회사에 감사가 나왔는데 포렌식으로 운영중인 서버에 데이타 복사를 이야기 하고 있습니다

그냥 상식적으로 서버 파워 Off하고 디스크 떼서 이미지 떠간다고 하면 당연히 이해가 가는데 운영중인 서버를 갑자기 포렌식으로 복사 해간다??

이해가 안가는데 어떤 방식인지 경험있으신분들 조언좀 부탁드립니다 참고로 운영자 권한이 없어서 파워 Off도 쉽지 않은 상황이라서 어떤 준비가 필요할지 알아야 대응이 될거 같아서 질의 드립니다

김동균

짧은글 일수록 신중하게.



병철 02-15 하다 못해 켜져 있는 상태에서 실시간으로 RAM 데이터 덤프 해 가서 포렌식 할 수도 있어서 별로 이상하지는 않네요. 끄면 휘발되니까요. 하다 못해 켜져 있는 상태에서 실시간으로 RAM 데이터 덤프 해 가서 포렌식 할 수도 있어서 별로 이상하지는 않네요. 끄면 휘발되니까요.



허어 02-15 그냥 단순하게 덤프 가 아니라 포렌식을 하려면 절차 와 인증되어진 툴 등 여러가지 부분들이 있어서 막연하게 덤프 만들어서 하면 된다...로 하기는 확인되어야 할 부분들이 있을겁니다.. 그냥 단순하게 덤프 가 아니라 포렌식을 하려면 절차 와 인증되어진 툴 등 여러가지 부분들이 있어서 막연하게 덤프 만들어서 하면 된다...로 하기는 확인되어야 할 부분들이 있을겁니다..



병철 02-15 그건 당연하고.. 본문 작성자분은 운영 중에 포렌식을 위한 데이터 확보가 가능하냐고 질문하셔서요. 그건 당연하고.. 본문 작성자분은 운영 중에 포렌식을 위한 데이터 확보가 가능하냐고 질문하셔서요.



허어 02-15 정보가 없어서 변수가 너무 많아요 OS 가 무엇인지 서버 구성이 어떤지 어떠한 데이터가 목적인지 등등 정보가 없어서 변수가 너무 많아요 OS 가 무엇인지 서버 구성이 어떤지 어떠한 데이터가 목적인지 등등



술이 02-15 데이터베이스 서버들은 민감한 데이터라면 운영중인걸 핸들링하는게 맞을거 같아요. 이유는 임시테이블 기능을 자주 쓰기 때문에 서비스 중지하는 순간 임시테이블 전부 사라지기 때문입니다. 데이터베이스 서버들은 민감한 데이터라면 운영중인걸 핸들링하는게 맞을거 같아요. 이유는 임시테이블 기능을 자주 쓰기 때문에 서비스 중지하는 순간 임시테이블 전부 사라지기 때문입니다.



레인보우7 02-15 전원을 차단하지 않고 온라인으로 하겠다는 얘기는 휘발성 데이터도 수집을 하겠다는 얘기로 생각이 드네요. 원격이든 콘솔이든 해당 서버에 슈퍼(root,sa)권한으로 접근해야 메모리나 디스크 파일시스템, 로그, 프로세스, DB 등 각종 자료를 수집하지 않을까 싶습니다. 추출하는 툴들은 다양하게 있어서 고가의 툴이나 DIY 로 현장에서 사용하기 편한 종합선물세트 툴이 있지 싶습니다. 추출 데이터를 받는 방식은 저장매체를 연결해서 이용하거나 nas?처럼 네트웍으로 받으면 편하긴하겠네요. 받은 여러종류의 데이터들은 분석툴에 집어 넣으면 상관도랑 관련 연관 정보를 아주 이쁘게 보고서로 만들어주지 않을까 싶습니다. 전원을 차단하지 않고 온라인으로 하겠다는 얘기는 휘발성 데이터도 수집을 하겠다는 얘기로 생각이 드네요. 원격이든 콘솔이든 해당 서버에 슈퍼(root,sa)권한으로 접근해야 메모리나 디스크 파일시스템, 로그, 프로세스, DB 등 각종 자료를 수집하지 않을까 싶습니다. 추출하는 툴들은 다양하게 있어서 고가의 툴이나 DIY 로 현장에서 사용하기 편한 종합선물세트 툴이 있지 싶습니다. 추출 데이터를 받는 방식은 저장매체를 연결해서 이용하거나 nas?처럼 네트웍으로 받으면 편하긴하겠네요. 받은 여러종류의 데이터들은 분석툴에 집어 넣으면 상관도랑 관련 연관 정보를 아주 이쁘게 보고서로 만들어주지 않을까 싶습니다.



인천I베리 02-15 운영 중인 서버를 끄게 되면 그로인한 피해등을 감수할 필요가 없이 운영중인 서버에서 간단하게 데이터 수집을 해가는 경우가 많습니다. 최근 다행 스럽게 제가 있는 곳은 아니지만 동종 업계에 압수 수색이 들어와서 DB 를 그냥 운영중인서버에서 운영에 영향 없이 바로 가져가는 일이 있었습니다. 운영 중인 서버를 끄게 되면 그로인한 피해등을 감수할 필요가 없이 운영중인 서버에서 간단하게 데이터 수집을 해가는 경우가 많습니다. 최근 다행 스럽게 제가 있는 곳은 아니지만 동종 업계에 압수 수색이 들어와서 DB 를 그냥 운영중인서버에서 운영에 영향 없이 바로 가져가는 일이 있었습니다.



나로와 02-15 조언주신분들 감사합니다 자체툴을 USB에 담아 와서 그걸 실행시켜서 데이타를 생성하고 담아가겠다고 합니다 참고로 윈도우 리눅스 서버 PC등등 여러가지입니다 ㅜㅜ 조언주신분들 감사합니다 자체툴을 USB에 담아 와서 그걸 실행시켜서 데이타를 생성하고 담아가겠다고 합니다 참고로 윈도우 리눅스 서버 PC등등 여러가지입니다 ㅜㅜ



레인보우7 02-15 문득? 가볍게 usb에 exe 돌리로 오시는분들을 위해서 사전에 보안SW나 DLP 부분 있으시면 미리 사전에 시뮬레이션하셔서 문제가 없는지 체크해보시는것도 작업시간을 줄이는 방법일것 같습니다. 감사를 받으시는 수준의 시스템 정도이시면 내부 정교한? 보안SW들이 가만히 넋놓고 있지는 않을듯합니다. 문득? 가볍게 usb에 exe 돌리로 오시는분들을 위해서 사전에 보안SW나 DLP 부분 있으시면 미리 사전에 시뮬레이션하셔서 문제가 없는지 체크해보시는것도 작업시간을 줄이는 방법일것 같습니다. 감사를 받으시는 수준의 시스템 정도이시면 내부 정교한? 보안SW들이 가만히 넋놓고 있지는 않을듯합니다.



정의석 02-17 포랜식이라고 무조건 1대1로 디스크 이미지를 떠가는건 아닙니다. db서버라면 아마 db백업 수준일듯 합니다. db를 백업 후 그 백업파일의 해시값정도를 계산한다는 의미일것 같습니다. 관련 업계(?)에서 일을 한 경험으로 봤을 때, 현재 국내에 db서버를 온라인상태에서 디스크 이미지를 떠 갈 감사업체는 없을듯 합니다. 그리고 db서버는 디스크 이미지를 떠 가면 그걸 다시 dbms에 올려서 데이터를 보는것이 그리 녹록한 일은 아닙니다. 서버 데이터는 그냥 온라인 백업정도일듯 하고, 일반 사용자 pc나 포렌식 프로그램 돌리는 수준일겁니다. 포랜식이라고 무조건 1대1로 디스크 이미지를 떠가는건 아닙니다. db서버라면 아마 db백업 수준일듯 합니다. db를 백업 후 그 백업파일의 해시값정도를 계산한다는 의미일것 같습니다. 관련 업계(?)에서 일을 한 경험으로 봤을 때, 현재 국내에 db서버를 온라인상태에서 디스크 이미지를 떠 갈 감사업체는 없을듯 합니다. 그리고 db서버는 디스크 이미지를 떠 가면 그걸 다시 dbms에 올려서 데이터를 보는것이 그리 녹록한 일은 아닙니다. 서버 데이터는 그냥 온라인 백업정도일듯 하고, 일반 사용자 pc나 포렌식 프로그램 돌리는 수준일겁니다.

로그인 하시면 댓글을 남길 수 있습니다

쓰기

QnA

쓰기

43/5601

번호	제목Page 43/5601	글쓴이	날짜	조회	추천
	[필독] 처음 오시는 분을 위한 안내 (718)	정은준1	2014-05	4520843	0
[필독] 처음 오시는 분을 위한 안내 (718) 2014-05 4520843 1 정은준1
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (228)	백메가	2015-12	1071248	25
(광고) 단통법 시대의 인터넷가입 가이드(… (228) 2015-12 1071248 1 백메가
111167	구글 API 관련하여 질문드립니다. (4)	뚜앙	02-29	481	0
구글 API 관련하여 질문드립니다. (4) 02-29 481 1 뚜앙
111166	이건 맥용 키보드인가요ㆍ 마우스는 선이 잘렿다� (4)	신은왜	02-29	696	0
이건 맥용 키보드인가요ㆍ 마우스는 선이 … (4) 02-29 696 1 신은왜
111165	캐논 프린터 문의입니다.(Canon LBP8130Kdn) (2)	바다늑대	02-29	501	0
캐논 프린터 문의입니다.(Canon LBP8130Kd… (2) 02-29 501 1 바다늑대
111164	epyc 서버 핀 수리.. (5)	kenzo	02-29	586	0
epyc 서버 핀 수리.. (5) 02-29 586 1 kenzo
111163	하.... 이 에러 좀 부탁드립니다. (24)	미담	02-29	849	0
하.... 이 에러 좀 부탁드립니다. (24) 02-29 849 1 미담
111162	[초보질문] SKT 제공 모뎀 교체해야 하는데 어떤걸 사야 하나요? (7)	전일장	02-29	695	0
[초보질문] SKT 제공 모뎀 교체해야 하는… (7) 02-29 695 1 전일장
111161	dl380 G9 vs R730 , R7910 추천 부탁드립니다. (15)	이창준	02-29	674	0
dl380 G9 vs R730 , R7910 추천 부탁드립… (15) 02-29 674 1 이창준
111160	구형보드 nvme 테스트용으로 좋은 .. (15)	2CPU최주희	02-29	903	0
구형보드 nvme 테스트용으로 좋은 .. (15) 02-29 903 1 2CPU최주희
111159	접지선을 L선에 잘못 연결해서 두꺼비집이 내려갔는데 어떻게 해야 할까요??? (6)	JBJB	02-29	893	0
접지선을 L선에 잘못 연결해서 두꺼비집이… (6) 02-29 893 1 JBJB
111158	X99 마더보드 256GB 인식 사진 (3)	박문형	02-29	708	0
X99 마더보드 256GB 인식 사진 (3) 02-29 708 1 박문형
111157	제온 x99메인보드 지원 메모리 문의 드립니다. (8)	멋진i	02-29	710	0
제온 x99메인보드 지원 메모리 문의 드립… (8) 02-29 710 1 멋진i
111156	u.2 속도 (3)	신우섭	02-28	390	0
u.2 속도 (3) 02-28 390 1 신우섭
111155	[질문] Proxmox를 이용해 4~5개의 VM을 만들어 다음 용도로 사용할 서버를 배우면서?… (6)	신우섭	02-28	680	0
[질문] Proxmox를 이용해 4~5개의 VM을 만… (6) 02-28 680 1 신우섭
111154	독일 연방 정보보안청 (BSI)에서 온 메일 (7)	kyile	02-28	916	0
독일 연방 정보보안청 (BSI)에서 온 메일 (7) 02-28 916 1 kyile
111153	dell precision 5510 메모리 업글의 한계는? (5)	NiteFlite9	02-28	595	0
dell precision 5510 메모리 업글의 한계… (5) 02-28 595 1 NiteFlite9
111152	3D step file 변환관련된 고성능컴퓨터는 ? (3)	NiteFlite9	02-28	409	0
3D step file 변환관련된 고성능컴퓨터는 ? (3) 02-28 409 1 NiteFlite9
111151	dc to dc 파워서플라이 연결 어댑터 용량 질문입니다 (15)	piedPiper	02-28	470	0
dc to dc 파워서플라이 연결 어댑터 용량 … (15) 02-28 470 1 piedPiper
111150	파워서플라이 cpu 8핀 고장인 경우 살릴 수 있나요? (10)	piedPiper	02-28	563	0
파워서플라이 cpu 8핀 고장인 경우 살릴 … (10) 02-28 563 1 piedPiper
111149	혹시 dell h730p raid mini 메인보드에 붙은 고정 지지대 이거 분해해보신분 있으실… (4)	홀릭0o0	02-28	432	0
혹시 dell h730p raid mini 메인보드에 붙… (4) 02-28 432 1 홀릭0o0
111148	30m 2.5SQ 3600w 사용가능여부 (18)	컴박	02-28	733	0
30m 2.5SQ 3600w 사용가능여부 (18) 02-28 733 1 컴박