악성코드 침투 후에 포렌식 분석 시작
바탕화면 설치여부 확인
https://www.osforensics.com/다운받고 설치하기

30일 무료

무결성 입증하기
hash값

manager pc
속성 > 저장소 > 장치 > 하드디스크 > 정보 확인
D:\VM\Manager\Win7_Manager6-disk001.vdi

osforensics
새 케이스
케이스 이름: 산특주식회사 관리자PC 해킹 사건
CASE TYPE : CRIMINAL (형사)
수사관: 
조직:정보보안연구소
연락처:
시간대:
날짜:
기본 드라이브
획득모드
케이스 폴더

**디바이스 추가
	이미지파일 > .disk 파일 선택(가상머신 vdi 체크 빼고 올려야 확인이 가능하다!) > 전체이미지 선택> 확인
	등록된 케이스 열기
	파일 시스템 브라우저 > 파티션(용량큰쪽) > users(사용자 정보 확인 > manager 1명 확인)

리눅스 로그 = 윈도우 이벤트
-이벤트
-레지스트리
파일 시스템을 알면 위치를 알기 쉬움

*가상 머신 부팅
파일 시스템을 알지 못하더라도 os등 상세 정보 알려줌
**vm 생성
	vmware player?

제한 시간: 30분
각 팀 별로 10분 동안 서버 점검시간 부여
2조 > 1조 > 3조 > 4조
완료되면 시작
서버 담당자(pc22, 123456/ pc21,123456)
192.168.0.222 : 3대 서버
192.168.0.224 : monitor서버(ELK+SPLUNK) 윈도우 서버(AD)
백업 서버
하드 4개 장착(500G,1T(3))
USB(14G) : OS 설치됨
500G : sda 확장용으로 사용
1T3개 : LVM 구성
3대 서버 백업본이 백업서버에 저장되어야 함

나머지는 전과 동일


*LVM으로 sdb,sdc,sde묶기

fdisk /dev/sdb
n
enter
t
8e
w
fdisk /dev/sdc
n
enter
t
8e
w
fdisk /dev/sdd
n
enter
t
8e
w

pvcreate /dev/sdb1
pvcreate /dev/sdc1
pvcreate /dev/sdd1

vgcreate myVG /dev/sdb1 /dev/sdc1 /dev/sdd1
vgdisplay

lvcreate --extents 100%FREE --name myLG myVG
ls -l /dev/myVG
mkfs.ext4 /dev/myVG/myLG

mkdir backup
chmod 777 /backup
nano /etc/fstab
	/dev/myVG/myLG	/backup	ext4	defaults	0	0 추가

mount /dev/myVG/myLG /backup
df -h

*RSYNC 설정

nano /etc/hostname
	backup 확인

su
nano /etc/rsyncd.conf (생성)
	[backup]
	path= /backup
	hosts allow 192.168.0.222
	hosts deny *
	list = true
	uid = root
	gid = root
	read only = false
systemctl start rsync

rsync -avz /backup backup::backup
nano /etc/hosts
	192.168.0.224 backup

  
UTM 오류
  

    

kali와 managerpc ip 192.168.0으로 같아서 오류
해결
managerpc를 192.168.1로 변경
utm inside변경, pc ip/gw 변경