35일차

악성코드 침투후에 포렌식 분석 시작
바탕화면 설치여부 확인
https://osforensics.com/ 다운받고 설치하기 

> 무결성 : 해시값으로 입증  

악성코드 침투전과 후 해시값 구하기
변경되면 무슨 변화가 생긴 것을 알 수 있음

케이스 이름 : 산특주식회사 관리자pc 해킹사건

디바이스 이미지 파일로 설정 전체 파티션

브라우저 열었을 때 용량이 큰 파이션으로 보기

가상머신 부팅 > 관리자가 보는 화면을 부팅하여 저장경로 확인 > 분석과 파일 찾기 용이
사용자 인원 확인 > users에서 확인가능 단, 파일시스템 

리눅스에서 로그기록 > /var/www/log에 있음
윈도우는 이벤트로그 확인 > 세큐리티 확인가능

레지스트리 확인 > 모든 기록들을 웬만하면 확인 가능

gns 실습과 동일하게 세팅하기
R1
config t
hostname HR
interface fastethernet0/0
ip address 192.168.0.254 255.255.255.0
no shutdown
exit
interface serial1/0
ip address 1.1.1.1 255.255.255.252
no shutdown
exit
router rip
version 2
network 192.168.0.0
network 1.1.1.0

R2
config t
hostname ST
interface fastethernet0/0
ip address 125.246.95.254 255.255.255.0
no shutdown
exit
interface serial1/0
ip address 1.1.1.2 255.255.255.252
no shutdown
exit
router rip
version 2
network 125.246.95.0
network 1.1.1.0

제한시간 : 30분
각 팀별로 10분동안 서버 점검시간 부여

서버 담당자(pc22, 123456 / pc21, 123456)
192.168.0.222 > 3대 서버
백업 서버
하드 4개 장착
USB : OS 설치
500G :sda 확장용으로 사용
1T 3개 : LVM 구성
3대 서버 백업본이 백업서버에 저장되어야 함
나머지는 전과 동일

192.168.0.224 > monitor서버(ELK+splunk), 윈도우 서버(AD)