라이브 리스폰스는 일단 컴퓨터의 플러그부터 뽑고 하드디스크의 이미지를 복사하던 과거 방식과는 달리 동작하고 있는 컴퓨터로부터 휘발성 정보들을 수집하고 분석하는 것을 목적으로 합니다. 휘발성 정보들에는 메모리, 프로세스, 네트워크 연결 정보, 시간과 날짜, 열려있는 파일 목록 등이 속합니다.
라이브 리스폰스는 '초기 대응 (First Response)' 또는 '사고 대응(Accident Response)'이라고 불리기도 합니다.
라이브 리스폰스란?
전통적인 컴퓨터 포렌식 방법론에는 컴퓨터를 조사하기 전에 우선 전원 플러그를 뽑고 하드 드라이브의 이미지를 복사하는 것이 가장 기본적이고 상식적인 절차였습니다. 최근에는 컴퓨팅 환경의 변화로 인해 저장 매체의 이미지 복사에 앞서 휘발성 정보(Volatile Data)를 먼저 수집하고 분석하는 쪽으로 방법론이 이동하고 있습니다. 휘발성 정보에는 시스템 시간, 네트워크 연결 정보, 로그온 사용자 정보, 실행되고 있는 프로세스 정보 등이 있는데, 이런 정보는 모두 컴퓨터가 꺼지고 나면 증발하는 것처럼 사라지기 때문에 휘발성(Volatile)이라는 이름이 붙게 되었습니다.
라이브 리스폰스는 말 그대로 죽어있는 시스템의 이미지 파일을 조사하는 것이 아니라 살아있는 시스템을 대상으로 이루어지는 일련의 컴퓨터 포렌식 조사 과정을 뜻합니다. 따라서 죽어있는(꺼져있는) 시스템에서는 이 작업을 수행할 수 없습니다. 그렇다고 꺼져있는 컴퓨터를 다시 켜는 것은 컴퓨터 포렌식에서 가장 금기로 여기는 일 중 하나이기 때문에 혹시라도 사건 현장에 있는 컴퓨터가 꺼졌다고 해서 그것을 다시 켜고 휘발성 정보를 수집하는 일은 없어야 합니다. 만약 컴퓨터 부팅 과정을 관찰하고 싶다면 네트워크가 분리된 분석 전용 컴퓨터 혹은 버추얼 머신으로 이미지를 복사한 다음 그것을 이용해 부팅하는 것이 최선의 방법입니다.
라이브 리스폰스는 휘발성 정보의 수집만을 의미하는 것은 아닙니다. 정확하게 말해 라이브 리스폰스는 '살아있는 시스템에서 수집 가능한 모든 정보(휘발성, 비휘발성 정보)의 수집과 분석, 그리고 이를 바탕으로 한 사고의 처리'까지가 담당 범위라고 할 수 있습니다.
라이브 리스폰스를 해야 하는 이유
하드 드라이버와 같은 비휘발성 장치에 자신을 복사하지 않고 곧바로 메모리로 로드되는 악성 프로그램들이 존재하기 때문에 휘발성 정보(메모리 덤프)의 수집이 매우 중요합니다. 휘발성 저장 장치에서만 찾을 수 있는 정보가 있습니다. 여기에는 현재 동작 중인 프로세스의 목록, 열려있는 파일의 목록, 네트워크 연결정보, 클립보드, 사용자 정보, 임시 파일, 비밀번호, 복호화 된 데이터 등이 속한다. 이런 정보는 컴퓨터가 꺼지고 나면 다시 복구할 수 없으므로 반드시 휘발성 저장 장치로부터 수집해야만 합니다.
하드 드라이버와 같은 비휘발성 장치에 자신을 복사하지 않고 곧바로 메모리로 로드되는 악성 프로그램들이 존재하기 때문에 휘발성 정보(메모리 덤프)의 수집이 매우 중요합니다.
먼저 설치된 윈도우 버전과 서비스 팩 버전을 확인합니다. 윈도우는 버전마다, 서비스팩마다 가지고 있는 특징과 취약점이 다르기 때문에 해당 버전이 가지고 있는 취약점과 그중에서 가장 의심이 가는 취약점 목록을 뽑을 수 있습니다. 다른 휘발성 정보를 이용해 범위를 좁힐 수 있고, 어떤 것들을 더 조사해야 될지 방향을 잡을 수 있습니다. 휘발성 정보를 먼저 평가함으로서 시스템의 대략적인 상태를 파악할 수 있고, 앞으로의 세부 조사 방향을 잡는데 기틀이 됩니다.
금융회사나 온라인 쇼핑몰, 온라인 게임 회사의 서버 컴퓨터처럼 멈출 수 없는 컴퓨터의 경우 라이브 상태에서 모든 증거를 수집하고 문제를 해결해야 합니다. 이런 경우 휘발성 정보의 수집과 분석이 최우선 과제가 됩니다.
라이브 리스폰스를 할 수 없는 경우
해커나 악성 프로그램이 저장 장치에 있는 파일을 수정하거나 삭제하고 있는 징후를 감지했거나 의심이 들면 과감히 컴퓨터의 전원을 뽑는 것이 좋습니다. 제한적인 휘발성 정보만 수집하고 싶다면 네트워크 연결 정보와 메모리덤프를 우선적으로 수집하는 것이 좋습니다.
사용하려는 도구들이 조사하고자 하는 윈도우 버전에서 충분히 검토가 이루어지지 않은 경우(공개용 도구를 사용하는 경우에 해당됩니다.)
공개용 라이브 리스폰스 도구 종류는 상당히 많은데 비해 다양한 윈도우 버전에 걸쳐 안정적으로 동작하는 것이 별로 없습니다.
로카르 교환 법칙
접촉한 두 물체 사이에는 반드시 교환이 일어납니다. 범인은 범죄 현장에서 어떤 식으로든 그곳에 있는 물체와 물리적인 접촉을 하게 되고, 그것이 의식적이든 무의식적이든 상관없이 접촉한 모든 물체에는 흔적이 남게 되며, 그것이 범죄의 증거가 될 수 있다는 논리
라이브 리스폰스의 원칙
라이브리스폰스는 동작 중인 컴퓨터를 대상으로 하기 때문에 조사자의 휘발성 정보 수집 행위가 시스템에 미치는 영향을 완전히 배제할 수 없습니다. 따라서 휘발성 증거를 수집할 최우선으로 적용되는 원칙은 “원본에 대한 영향을 최소화한다”는 것입니다.
[출처] http://forensicexpert.tistory.com/60