3-3-3. 로그파일 수정한 Shell Script 복구하기 (Keyword Searching)
(3-3-2와 같이 Shell Script 파일 중에서 Tool을 사용하여 자동화시켜 찾아낼 수 없는 경우 사용할 수 있는 방법)
*. 디스크에서 무작정 '/var/log/messages/'가 들어있는 모든 파일의 앞뒤를 뒤져서 script 로 보이는 부분을 찾아내는 수작업이 필요한 방법이다. 삭제되었어도 디스크상에는 남아있으므로 삭제여부와 상관이 없으며, 시간과 노력이 많이 드는 만큼, 확실한 결과를 보증한다.
i. "/var/log/messages"가 조작됐다는 전자 하에(MAC Time 분석 등을 통해 알아낼 수 있음) 모든 이미지 중 해당 text 근처를 찾아보도록 한다. strings를 이용한다.
strings *.dd | egrep -B 10 -A 10 '/var/log/messages' > clear_log.txt
// 앞에 10라인 뒤에 10라인 찾아서 clear_log.txt 에 저장
-B 10 : before 10 lines -A 10 : append 10 lines
ii. clear_log.txt 내용 확인
(각 이미지의 „/var/log/messgaes‟ 들어간 부분의 앞뒤 10줄씩이 모두 저장되어있는 text 파일)
iii. clear_log.txt 중 로그파일 수정 script 추측되는 부분 확인
iv. 공격코드의 일부가 있는 행의 앞, 뒤 Line 수를 여러 번 수행해보며 Script 전체를 확인해본다.
v. 찾은 공격코드
vi. Keyword Searching 기법을 사용하는 경우 (포렌식 관점) :
로그파일을 생성하거나 수정한 실행 파일을 찾거나(지워진 경우 복구하거나),
환경설정파일을 참조한 실행파일을 찾거나(지워진 경우 복구하거나),
이미 삭제된 루트킷 설치한 script 파일을 복구하거나(설치된 파일들의 이름을 아는 경우에만 가능),
지워진 로그 파일이나 히스토리 파일을 복구하는 등 활용분야가 넓다.
4. 참고문헌
기술문서_삭제된파일복구.pdf'Digital Forensics > Linux' 카테고리의 다른 글
| Unix/Linux 로그 분석 (2) | 2016.06.23 |
|---|---|
| 리눅스(EXT2)에서 삭제된 파일 복구하기 - 11 (0) | 2010.03.16 |
| 리눅스(EXT2)에서 삭제된 파일 복구하기 - 10 (0) | 2010.03.15 |
| 리눅스(EXT2)에서 삭제된 파일 복구하기 - 9 (0) | 2010.03.15 |
| 리눅스(EXT2)에서 삭제된 파일 복구하기 - 8 (0) | 2010.03.15 |
