[ccibomb@CRG]# _bykim

<Web Browser Forensics - IE10 Forensics>

* WebCacheV01.dat 저장위치

 - %UserProfile%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat 

* Cookie expire time의 기본설정은 20일

- 이는 실제 날짜 기준이 아니라, 인터넷 접속이 이루어진 일수 기준임

 - 예를 들어, 3월 24일 WebCache를 분석하는 경우에도 3월 1일까지의 쿠키가 확인될 수 있음 (3월 1일부터 3월 24일까지 기간 중 4일(ex. 3월 3일, 3월 5일, 3월 7일, 3월 9일) 동안에는 인터넷 접속을 하지않은 경우)

 - 실제 분석 예) 2019. 3. 2. 획득한 WebCache 파일 내에서 2019. 2. 7.경의 정보까지 확인됨. 20일을 초과하여 저장된 이유를 확인한 바, 총 4일(2019. 2. 10., 2. 17., 2. 23., 2. 24.) 동안 PC가 켜지지 않았음. 아래는 PC의 On, Off 기록

* WebCache01.dat 파일 생성시각

 - Windows OS 부팅/로그인시 생성되는 것으로 보임

 - 부팅 후 브라우저에서 작업중인 내용은 WebCache01.dat 파일이 저장되는 같은 폴더(%UserProfile%\AppData\Local\Microsoft\Windows\WebCache\) 내에 V01002E0.log 등과 같은 형태로 저장됨(이 또한 실시간 저장되는 것은 아닌 것으로 보임)

 - 따라서 WebCache01.dat 파일 획득을 위해서는 “Clean Shutdown(Windows OS 정상종료)” 상태로 수집되어야 함 (Live 상태로 WebCache01.dat 수집하는 경우, 당해 부팅 이전 시점까지의 Cache, History, Cookie, Download List 등만 확인 가능함)

* History 中 실제 해당 페이지 방문시각 정보는 'modified time'에 기록됨

 - 같은 IE10 브라우저 내의 서로 다른 탭에서 검색을 한 뒤 해당 브라우저 종료시 ‘Modified Time’은 정상적으로 저장되나, ‘Accessed Time’은 여러 탭 중 하나라도 마지막으로 검색을 한 시점으로 일괄 저장됨

 -> WEFA(by 4n6tech.com)에서는 방문시각을 ‘Accessed Time’ 정보를 보여주기 때문에 서로 다른 시각에 검색을 하였음에도 같은 시간정보를 보여줌(WEFA 사용하여 분석시 주의 필요!)

 -> IE10Analyzer(by 김정현)에서는 모든 시간정보(Modified Time, Accessed Time, Expiry Time)를 표시해줌. 그중에서 ‘Modified Time’ 정보가 실제 방문시각임

 -> BrowsingHistoryview(By Nirsoft)에서는 ‘Modified Time’ 정보를 방문시각으로 표시하고 있음

* Test 기록 (환경: IE11, Win7)

 - 09:24 IE10 브라우저 시작

 - 09:24 ~ 09:25 1~3번탭 네이버검색

 - 09:25 IE10 브라우저 종료

 - 09:29 IE10 브라우저 재시작

 - 09:30 1~3번탭 네이버검색

 - 09:31 IE10 브라우저 종료

 - 09:34 IE10 브라우저 재시작

 - 09:34 1~3번탭 네이버검색

 - 09:35 1~3번탭 네이버검색

 - 09:36 IE10 브라우저 종료, 시스템 종료

 -> WEFA

 -> IE10Analyzer

 -> BrowsingHistoryView

* WebCache 분석 中 추가 확인이 필요한 사항 (아시는 분은 댓글로 알려주시면 정말 감사하겠습니다.)

<2019. 3. 1. 점심> 

사촌형네 부부와 함께 점심식사 후 후식으로 미쁜제과로 향했다.

사촌형수님이 꼭 가보고 싶었다는 '미쁜제과'는 요새 인스타에서 엄청 핫한 곳이라고 하셨다.

늦은 오후에 오면 '빵'이 다 팔려서 못 먹을 수 있다고..

도착해보니, 왜 핫한지 알 것 같았다.

커피나 빵이 맛이 없어도 유명할 것 같은 '미쁜제과의 외관'과 주변 풍경..

반짝 거리는 새로지은 듯한 예쁜 한옥 안에 들어서면 꽤 넓은 공간의 카페가 있었다.

예쁜 비쥬얼의 한옥 카페만으로 그칠 줄 알았는데,

빵들의 비쥬얼도 훌륭했다. 

형수님의 표현을 빌리자면 제주살이를 하며 잘 느끼기 힘든 '청담동 카페' 느낌ㅎ

요새 아내가 마카롱에 푹 빠져있어, 여기는 어떠냐고 사진을 보내주니

먹어보지 않았지만 이미 "탈락". 

마카롱 필링이 뚱뚱할수록(일명 '뚱카롱') 맛있는 거라며ㅎ 

영업시간은 오전 10시부터 오후 8시까지.

그런데 형수님이 말씀하시길 늦은 오후에 오면 빵이 아예 없다고..

카페가 있는 건물 옆에도 미쁜제과 사장님 소유로 보이는 다른 한옥 건물들이 붙어있다.

카페 마당에서 보이는 서귀포 바다.. 하 좋다. 

좋은 위치에 좋은 카페를 만드신 것 같다.

좋다. 여기도 아내랑 다시 와보기로ㅎ

위치는 제주 서귀포시 대정읍 도원남로 16

<2019. 3. 1. 점심>

사촌형 부부와 함께 점심을 먹기 위해 제주 서귀포 모슬포항을 찾았다.

제주시에서 출발할 때만 해도 미세먼지가 많아 한라산이 잘 보이지 않았는데,

서귀포 바닷가에 도착하니 어느덧 걷힌 것 같았다. 

바다는 늘 좋다. 해변도 좋지만 항구도 좋다.

모슬포항엔 식당들이 많다. 

특히 11월 말 ~ 12월 초에는 방어축제가 열려 사람들이 많이 찾는다고 한다.

(올 겨울에 아내와 함께 꼭 들러보는 것으로~!)

그 중 부두식당이 SNS상에서 유명하다고 하는데, 사촌형 부부의 입맛엔 기대치보다 별로였다고 한다.

그래서 우리가 간 곳은 항구식당. 

3대째 전통을 이어가고 있는 맛집에 가성비가 좋다고 하여 찾았다.

메뉴는 다양했다.

쥐치조림을 도전할까 고민하다가 안전하게 갈치조림으로 택했다.

3인분에 4만원, 가격대 훌륭하다^^

맛 또한 훌륭했다. 부드럽고 통통한 갈치살과 양념이 잘 베어든 무와 감자까지,

양도 푸짐하여 세 명이 먹기 충분했다. 

위치는  '제주 서귀포시 대정읍 하모항구로 64'

<2019. 3. 1. 점심>

제주영어교육도시에서 아들 유학 중인 사촌형 부부가 

고기국수 맛집이라며 강추하여, 기대 한가득 안고 달려간 대정 고을식당.

문 닫았다. 아쉽다. 다음 기회에.. 

서귀포 놀러갔다가 고기국수 땡기는 날 꼭 들러봐야겠다.

아쉬운 마음에 주변 산책

그토록 로망이었던 제주라서 그런건지, 콩깍지가 씌여서 그런건지, 

그냥 이런 작은 길들도 내 눈엔 너무 아름답게 느껴지고 미소지어진다. 기분이 좋다.

돌하르방 네 분도 있었다.

도로 한 쪽에 세 분, 다른 반대편에 한 분- 

왜 두 분씩 모아놓지 않았을라나; 

안내판의 주소지를 보니, 심지어 길을 사이에 두고 세 분은 보성리, 한 분은 안성리에 있었다.

제주도에 오면 많이 보이는 그냥 그런 돌하르방들인 줄 알았는데, 

옆에 안내판을 읽어보니 역사가 있는 돌하르방들이었다.

돌하르방을 하나하나 찬찬히 쳐다본건 처음이었던 것 같다.

돌하르방 네 기 중 모여있는 세 기는 오른손을 윗 배를, 왼손은 살짝 아랫배를 쓰다듬고 있는 모습이었고,

반대편에 있는 한 기는 양손을 마주잡고 있었다. 

눈이 부리부리하게 툭 튀어나오고, 코는 뭉툭하니 크고, 

입은 살짝 벌리고 있는 듯 모습이 비슷하긴 하였지만 다 다른 얼굴들이었다. 

"안내문 내용:

돌하르방은 제주의 삼읍성인 제주성, 정의성, 대정성의 성문(동문, 서문, 남문)의 입구에 세워져 있던 석상이다. 

해당 돌하르방은 대정성의 남문 입구 좌우에 각각 2기씩 세워져 

성안으로 출입하는 사람들을 감시하는 등 성을 지키는 수문장으로서의 역할을 하였다.

2018년 10월, 원 위치(남문)가 아닌 동문지에 자리하고 있던 돌하르방 2기와 

기존 남문지에 존치하고 있던 2기 등 총 4기를 대정성의 남문인 현 위치로 이설, 정비하였다."

위치는 대정 고을식당에서 보성초등학교 쪽으로 골목을 따라 올라가면 된다.

<2019. 2. 23. 오후>

탐라국의 시조(고씨, 양씨, 부씨)가 솟아났다는 세 개의 구멍, '삼성혈'에 다녀왔다.

제주도민인 직원분이 말해주기를 "구멍 세개만 있을 뿐 그닥 볼 것도 없다"고 하여,

크게 기대하지 않고 방문한 '삼성혈'은 꽤나 만족스러웠다.

조용했고, 푸르렀으며, 지저귀는 새소리가 좋았다.

제주도 전입신고 후 처음 도민할인(50%)을 받아서 더 좋게 느껴진 것 같기도 하다.

요금은 어른 2500원이나, 제주도민은 50% 할인이 된다.

아직 봄이 오지 않았는데도 이미 녹음이 우거진 삼성혈은 정말 마음에 들었다.

여름이 되면, 얼마나 푸르러질까 기대하게 된다.

지저귀는 새소리가 좋아 동영상으로 잠깐 촬영하였다.

삼성혈 안에는 전시관이 있어, 3D안경을 끼고 영상자료 등을 관람할 수 있었다.

제주도(탐라국)의 시조인 '고을나, 부을나, 양을나'에 대해 쉽게 잘 설명을 해주고 있어, 

처음부터 끝까지 집중을 하며 보았다.

더군다나 제주도의 행정구역명인 '일도, 이도, 삼도'의 유래에 대해서도 알 수 있었다.

'삼성전'은 삼성혈(옛 이름은 '모홍혈'), 즉 세 개의 구멍에서 용출한 시조들을 기리는 곳이었다.

키가 작아 슬프게도 삼성혈의 구멍 세 개 중 어느 것도 보이지 않았다.

옆으로 가면 보일까 하였으나 역시 보이지 않았다..

참으로 다행스럽게도 관람대가 준비되어 있었다.

참 얼마 안되는 높이만큼 올려주는 나무다리였으나,

효과는 아주 좋았다. 보였다.. 세 개의 구멍이 다 보였다.

삼성혈의 관람 지도는 아래와 같다.

혹자는 2500원을 내고 들어오기엔 비싸다고 하기도 하나,

제주도민 할인을 50% 받아 들어온 입장에서는 1250원 충분히 지불할만 한 곳이라고 생각된다.

아내와 한번 더 와야겠다.

참고로 반려동물 동반입장은 가능하나, 바닥에 내려놓을 수 없고 품에 안고 다녀야한다(삼성혈 안내인에게 문의함).

삼성혈 입구에 붙어있던 '제주 들불축제' 포스터. 

2019년 3월 7일부터 10일까지 새별오름에서 진행된다고 한다.

얼마남지 않았다. 잊지말고 아내와 함께 꼭 방문- 

<2019. 2. 24. 저녁>

일요일 하루종일 날씨가 정말 좋았다.

파란하늘, 내리쬐는 햇볕.

거실 소파에 앉아 보이는 한라산 끝자락.

특별히 무얼 하지 않아도 충분히 좋았다.

매일 어딘가 한군데는 들르려고 하던 내 스스로에게

너무 메이는 것 같아 오늘은 의도적으로 아무데도 안가려 했다.

하루종일 TV에는 스카이캐슬을 틀어놓고 

집정리를 하거나 밥을 해먹거나 소파에서 까뭉이와 낮잠을 청했다.

그렇게 하루종일 뒹굴거리고나니 17:30쯤..

서쪽 하늘이 붉게 물들고 있었다.

까뭉이를 데리고 급하게 집을 나섰다.

모자 눌러쓰고 슬리퍼 신고 츄리닝 바람으로 우리집에서 차로 5분거리,

하귀1리 앞바다로 향했다.

가는 길에 보이는 뭔가 맛집스러운 건물이 보여 사진을 찍었다.

아내에게 사진을 보내주니, 딱새우 전문 레스토랑 '저스트 쉬림프'라고 알려주었다.

제주 애월 맛집으로 유명했다.

딱새우를 이용한 다양한 요리들을 팔았다.

다음에 아내와 함께 꼭 와보아야겠다.

'저스트 쉬림프'를 조금만 지나면 하귀1리 앞바다가 펼쳐진다.

늦겨울 저녁 노을이 지고 있었다.

집 앞에 차 타고 5분거리에서 이런 풍경을 바라볼 수 있다니..

제주에 온 지 벌써 한달이 지났는데도 계속하여 감탄과 감사함을 느끼게 된다.

제주에 있는 일년동안 계속 이렇게 감탄과 감사함을 느끼다 갈 것 같다.

해가 조금 더 길어지는 봄, 여름이 되면,

평일 퇴근 후에도 아내와 함께 이곳에 찾아와 노을을 볼 수 있겠다.

아, 사진으로 다시 봐도 참 좋다.. 

주변엔 '하귀로민박'이라는 예쁜 마당과 루프탑을 가진 민박집도 보였다.

(찾아보니 에어비앤비에서 예약이 가능하다고 한다.)

우리 집이 이곳에서 5분거리가 아니었다면, 하루쯤 자보고 싶은 분위기의 민박집이었다.

길 끝엔 조용한 카페 '하귀1629'가 있었다.

위치는 하귀하나로마트 맞은편 해안가.

딱새우 전문 레스토랑 '저스트 쉬림프(Just Shirimp)'에서 조금만 더 해안가로 가면 된다.

<2019. 2. 25. 점심>

제주시 애월읍 하귀1리에 위치한 이운 비바리 짬뽕.

직장 동료분(제주도민)이 '크림짬뽕'이 특히 맛있는 집이라고 하여 방문하였다.

전용 주차장은 없으나, 주변에 어렵지 않게 주차는 가능하였다.

영업시간은 11:00~15:00, 17:30~21:00

(브레이크타임 15:00~17:30만 주의해서 방문하면 되겠다.)

짬뽕 종류가 다양하나, 추천받은 비바리 크림짬뽕 中

아라비따 크림짬뽕(9500원)을 주문했다.

크림 베이스에 청양고추 첨가되어 아주 살짝 매콤하여 크림소스의 느끼함을 잡아주었다.

(개인적으로는 '서울 서대문역 근처 짬뽕주의'의 크림짬뽕이 더 땡겼다. 

하지만 제주도에서 크림짬뽕 먹자고 서울갈 수 없는 일이니,

제주도민이 pick한 제주도 크림짬뽕 맛집 정도로 정리해둔다.)

추가로 탕수육(소, 12000원)을 시켰다.

고기에 두껍고 크게 들어간 찹쌀 탕수육(꿔바로우)였다.

일반적인 탕수육소스가 아닌 유자향이 나는 향긋한 소스는 찍먹.

위치는 제주시 애월읍 하귀1리 13801 이운비바리짬뽕(064-743-7090)

<형사소송법>

제16조의2(사건의 군사법원 이송) 법원은 공소가 제기된 사건에 대하여 군사법원이 재판권을 가지게 되었거나 재판권을 가졌음이 판명된 때에는 결정으로 사건을 재판권이 있는 같은 심급의 군사법원으로 이송한다. 이 경우에 이송전에 행한 소송행위는 이송후에도 그 효력에 영향이 없다.

<국방부와 경찰청과의 수사업무 공조협정>

제1조(수사의 분담) ① 「군사법원법」제2조 및 제3조에 의하여 군사법원이 재판권을 갖는 범죄와 「사법경찰관리의 직무를 행할 자와 그 직무범위에 관한 법률」 제9조에서 정하는 범죄에 대하여는 국방부장관과 각 군 참모총장의 지휘를 받는 군수사기관이 수사업무를 담당한다.

<군사법원법>

제2조(신분적 재판권) ① 군사법원은 다음 각 호의 어느 하나에 해당하는 사람이 범한 죄에 대하여 재판권을 가진다.

 1. 「군형법」 제1조제1항부터 제4항까지에 규정된 사람. 다만, 「군형법」 제1조제4항에 규정된 사람 중 다음 각 목의 어느 하나에 해당하는 내국인ㆍ외국인은 제외한다.

<군형법>

1조(적용대상자) ① 이 법은 이 법에 규정된 죄를 범한 대한민국 군인에게 적용한다.

② 제1항에서 "군인"이란 현역에 복무하는 장교, 준사관, 부사관 및 병(兵)을 말한다. 다만, 전환복무(轉換服務) 중인 병은 제외한다.

<범죄수사규칙>

제190조(이송과 인계) ① 경찰관서장은 관할구역 내의 사건이 아니거나 해당 경찰관서에서 수사하는 것이 부적당하다고 인정되는 사건은 신속히 이를 범죄지 또는 피의자의 거주지를 관할하는 경찰관서, 수사에 적합한 경찰관서나 기관에 이송 또는 인계하여야 한다. 다만, 상급 기관에서 하명된 사건을 이송할 때에는 미리 상급기관의 승인을 받아야 한다.

<사건의 관할 및 관할사건수사에 관한 규칙>

제6조(사건관할이 불분명한 경우의 관할지정) 

④ 제1항부터 제3항까지의 규정에도 불구하고 국민안전처(해양경비안전본부), "군수사기관", 철도특별사법경찰대 등 다른 국가기관과 협의하여 정한 협정 등이 있으면 이를 이 규칙보다 우선하여 적용한다.

Unix/Linux 포렌식에서 조사관은 로그 분석을 통해 침입자의 다양한 침입 흔적을 알 수 있다. 시스템에 대한 스캔 행위, exploit 을 통한 공격, 특정 사용자 계정으로의 접속, root 권한 획득, 트로이 목마 설치, 자료 유출 및 삭제 등 공격자의 행위 하나하나가 모두 시스템에 의해 감시 되고 로그로 남기 때문이다.
 그럼 먼저 일반적인 Unix/Linux의 로그 저장 경로를 알아보자.
 
/usr/admin : 초기 유닉스, BSD 계열(HP-UX 9.X , SunOS 4.X)
/var/admin : 최근 유닉스, BSD 계열(SUN Solaris , HP-UX 20.X 이후, IBM AIX)
/var/log : 일부 BSD 계열(BSD, FreeBSD, Sun Solarix, Linux)

로그	저장 데이터
utmp, utmpx	현재 로그인한 사용자들에 대한 상태 정보
wtmp, wtmpx	사용자들의 로그인-아웃 정보
sulog, authlog	su(switch user) 명령어 사용 정보
syslog, secure	사용자 인증에 관련된 정보
loginlog, failedlogin, btmp	실패한 로그인 정보
shutdownlog	셧다운, 리부팅, 홀트 정보
access_log, error_log	웹 서버 접속 정보, 에러 정보
lastlog	각 사용자의 최근 로그인 정보
messages	콘솔 상의 화면에 출력되는 메세지 정보
xferlog	FTP 데몬을 통해 송수신 되는 데이터 정보
acct, pacct	각 사용자별 실행한 명령어 정보
history	각 사용자별 실행한 명령어, 인자 정보
sialog	Compaq Tru64 OS의 su 명령어 사용 정보

 위에서 대략적으로 설명한 로그들은 시스템 별로 각각 저장 여부가 다르다. 실제 시스템별 저장되는 로그는 다음 표와 같다.
 

로그	Solaris 2.X	HP-UX 9.X	IBM AIX	Linux	Compaq Tru64
utpmx,    wtmpx	/var/adm(/etc)	해당 없음	해당 없음	해당 없음	해당 없음
utmp, wtmp	/var/adm(/etc)	/usr/adm	/var/adm	/var/log(wtmp)  /var/run(utmp)	/var/adm
btmp	해당 없음	/usr/adm	해당 없음	/var/log	해당 없음
syslog	/var/log	/usr/adm/sys log/syslog.log	/var/adm	해당 없음	/var/log
secure	해당 없음	해당 없음	해당 없음	/var/log	해당 없음
sulog	/var/adm	/usr/adm	/var/adm	해당 없음	해당 없음
pacct	/var/adm	/var/adm	/var/adm	/var/log	/var/log
authlog	/var/log	해당 없음	해당 없음	해당 없음	해당 없음
messages	/var/adm	/var/adm	/var/adm	/var/log	/var/adm
loginlog	/var/adm	해당 없음	해당 없음	해당 없음	/var/adm
failedlogin	해당 없음	해당 없음	/etc/security	해당 없음	해당 없음
sialog	해당 없음	해당 없음	해당 없음	해당 없음	/var/adm

다음은 각 로그 파일에 대한 상세 설명이다.
(그림 출처 : "UNIX 로그분석을 통한 침입자 추적 및 로그관리 : Part 1" by 정현철)



1. utmp, utmpx
  - 시스템에 현재 로그인한 사용자들에 대한 상태를 기록(바이너리 형식)
  - /var/run (Linux) 혹은 /var/adm, /etc/ (Solaris) 등에 위치함
  - 사용자 이름, 터미널 장치 이름, 원격 로그인 시 원격 호스트 이름, 사용자 로그인한
    시간 등을 기록
  - who, w, whodo, users, finger 등의 명령어를 통해 내용 확인 가능
  - 'w'는 utmp(x)를 참조하여 현재 시스템에 성공적으로 로그인한 사용자에 대한 snapshot
    을 제공해 주는 명령으로  해킹 피해 시스템 분석 시에 반드시 실행해 보아야 함
   
    ※ 분석 포인트!!!
    1) 접속한 계정이 모든 정상적인 계정인가?
    2) 접속 IP가 내부 IP 이외 이거나 국외 IP인가?
    3) 사용자 행위가 정상적인가? 스캔툴이나 DOS 공격을 수행하는지 확인한다.

 

4. syslog, secure
  - 사용자 인증과 관련된 로그 및 커널, 데몬들에서 생성된 모든 로그를 기록(텍스트 형식)
  - rsh, rlogin, ftp, finger, telnet, pop3 등에 대한 접속 기록 및 접속 실패 기록 등 시스템의
    보안과 밀접한 관계에 있는 로그
  - 보안사고가 발생할 경우 가장 먼저 백업하여야 하며 가장 먼저 분석을 시도하여 하는
    로그 파일
  - Linux 계열에서는 secure 로그로 남음

   ※ 분석 포인트!!!
    1) 아래 그림과 같이 짧은 시간 안에 여러 서비스에 대한 접속 시도는 multiple 스캔 공격
        으로 판단 가능
    2) 버퍼오버플로우 흔적을 찾을 수 있음

5. loginlog, failedlogin, btmp
  - 실패한 로그인 시도를 기록(텍스트 형식)
  - 기본적으로 생성되지 않고 수동으로 생성해 주어야 함
  - 사용자ID, 터미널명, 날짜 및 시간
  - Solaris를 포함한 시스템 V 계열의 유닉스에서는 loginlog파일이 사용됨(Text 형식)
  - Linux와 HP-UX에서는 btmp 파일을, AIX에서는 failedlogin 파일을 사용(바이너리 형식)
  - Linux의 경우, 'lastb' 명령을 사용하여 btmp 파일의 내용을 확인 가능

   ※ 분석 포인트!!!
    - 특정 IP로 부터의 다수의 접속 실패는 Brute-Force 공격으로 의심할 수 있음

        =>해당 Brute-Force 공격의 성공 여부는 syslog, messages 파일과의 병행 분석을 통
           해 확인

6. shutdownlog
  - HP-UX 에만 있는 로그, 시스템의 shutdown, reboting, halt 내역 기록(텍스트 형식)
  
   ※ 분석 포인트!!!
    - 일반 사용자가 'su'로 권한 상승 후, 'shutdown' 명령 실행시 로그 파일에 일반 사용자 
      ID로 기록이 남음 => 시스템이 해커에 의해 리부팅 혹은 셧다운 되었는지 확인 가능
    - 'reboot after panic'이란 flag로 기록이 남으면 커널 패닉으로 판단, 시스템 장애추적에 
      활용될 수 있음





7. access_log, error_log
  - access_log : 웹 페이지 접속 및 파일 다운로드 기록(텍스트 형식)
  - error_log : 존재하지 않는 파일에 대한 접근 등의 에러 기록(텍스트 형식)
  
   ※ 분석 포인트!!!
    1) 웹 서버에 대한 공격은 주로 CGI 프로그램에 집중, 취약한 CGI 프로그램에 대한 공격
       로그를 검사
    2) 웹 서버마다 로그 포멧이 모두 조금씩 다름. 각각의 포멧을 익혀두는 것이 필요.

8. lastlog
  - 각 사용자가 가장 최근에 로그인한 시간과 접속장소가 기록(바이너리 형식)
  - 동일한 사용자에 대해서는 이전 내용을 overwrite 함
  - wtmp(x), utmp(x) 등 사용자와 관련된 로그와 병행하여 함께 분석하여야 하는 파일
  - IBM AIX의 lastlog의 경우, 텍스트 형식으로 저장됨
  - 'lastlog' 명령을 통해 내용 확인 가능

9. messages
  - 콘솔 상의 화면에 출력되는 메세지들을 기록(텍스트 형식)
  - timestamp, 호스트명, 프로그램명, 메시지 내용
  - 메세지 내용에는 su 실패에 대한 로그, 특정 데몬이 비활성화된 로그, 부팅시에 발생된
    에러 등 다양한 로그들을 포함
  - syslog와 마찬가지로 보안사고가 발생시에 가장 먼저 분석을 하여야 하는 파일

   ※ 분석 포인트!!!
    1) 취약점을 가진 다양한 서비스들을 미리 파악하여 분석 수행
    2) 로그만을 통해 취약점에 대한 공격의 성공/실패 여부는 알 수 없기 때문에 해당 취약점
       의 특성을 파악하여 직접 확인할 필요가 있음 
    3) 대부분의 버퍼오버플로우 공격의 경우, 아래 그림과 같이 비정상적인 로그가 기록됨  

    4) 스니핑 툴이 설치하여 모니터링을 수행할 경우, 네트워크 카드는 Promiscuous 모드로
      설정되어 있어야 함. 따라서 아래 그림과 같이 'messages' 로그에서 네트워크 카드의 
      Promiscouos 모드 On/Off 시간을 알 수 있음.

10. xferlog
  - ftp 데몬을 통하여 송수신되는 모든 파일에 대한 기록(텍스트 형식)
  - 송수신 자료와 시간, 송수신을 수행한 원격 호스트, 송수신된 파일의 크기, 송수신된 파
    일의 이름, 파일의 송수신 모드, 특수 행위 플래그, 전송 방향, 로그인한 사용자의 종류
  - 디폴트로는 로그가 남지 않으며 '/etc/inetd.conf' 에서 'ftp stream tcp nowait
     root /usr/sbin/tcpdin.ftpd -l -a'와 같이 '-l' 옵션을 주었을 때만 로그 생성
  
   ※ 분석 포인트!!!
   1) 접속 시간이 정상적인가? 
    2) 접속 IP가 내부 IP 이외 이거나 국외 IP인가?
    3) 송수신한 파일이 해킹툴이나 주요 자료인지 확인
    4) wtmp와 utmp와 병행 분석
        => wtmp에는 ftp 접속 흔적이 남아 있지 않은데 xferlog에는 기록이 남아 있을 때 침입
           을 의심할 수 있음

  - 각 사용자의 수행한 단일 명령어의 모든 정보를 기록(바이너리 형식)
  - 명령어의 아규먼트는 기록되지 않음
  - 'lastcomm'이나 'acctcom' 명령어을 통해 내용 확인 가능 
  - 기본적으로 실행되지 않으면 'startup' 이나 'accton' 명령어로 설정

   ※ 분석 포인트!!!
    1) acct, pacct 로그에는 사용한 명령어만 남으므로 history 로그를 통해 보완한다.
   

12. history
  - 각 사용자별로 수행한 명령을 기록(텍스트 형식) 
  - 명령어의 아규먼트를 모두 기록
  - 쉘에 따라 .sh_history, .history, .bash_history 등의 파일로 기록

   ※ 분석 포인트!!!
    1) 로그 파일은 각 사용자의 홈 디렉토리에 숨긴 파일 형태로 저장됨
    2) 백도어와 같이 비정상적으로 루트 쉘을 획득할 경우, 루트의 홈 디렉토리(/root/)가
        아닌 최상위 디렉토리에 로그 파일이 생성됨

* 출처 : http://blueangel-forensic-note.tistory.com/entry/UnixLinux-%EB%A1%9C%EA%B7%B8

* WebShell

웹쉘(WebShell)은 원격 관리도구인 RAT(Remote Administration Tool) 또는 백도어(Backdoor)라고 불림. 웹쉘은 서버 제어권을 장악하거나 어떠한 스크립트를 실행하거나 자료를 파괴하는 등 모든 기능을 가진 GUI 도구도 있고, 단순히 브라우져의 URL을 통해 명령하고 서버에서 실행하게 하는 단순한 몇줄짜리 코드도 있음. 웹쉘은 서버가 지원하는 어떠한 언어로도 작성될 수 있음. 

* WSO WebShell

WSO의 경우는 PHP로 작성됨. Apache에 PHP 기반으로 서버를 운영하고 있다면, WSO와 같은 강력한 PHP 웹쉘에 취약할 수 있음. 웹쉘이 설치되고 나면 서버 관리자와 동일한 권한을 갖게 됨

* WSO 웹쉘 특징(참조 : thehackernews.com)

Authorization for cookies

Server Information

File manager (copy, rename, move, delete, chmod, touch, creating files and folders)

View, hexview, editing, downloading, uploading files

Working with zip archives (packing, unpacking) + compression tar.gz

Console

SQL Manager (MySql, PostgreSql)

Execute PHP code

Working with Strings + hash search online databases

Bindport and back-Connect (Perl)

Brute force FTP, MySQL, PgSQL

Search files, search text in files

Support for * nix-like and Windows systems

Antipoiskovik (check User-Agent, if a search engine then returns 404 error)

You can use AJAX

Small size. The boxed version is 22.8 Kb

Choice of encoding, which employs a shell.

* WSO 웹쉘 사용법

아래와 같은 환경에 웹쉘을 업로드 하면, 웹사이트 장악 완료.

Site name – abcxyz.com

abcxyz’s root directory – /var/www/abvxyz/

Uploaded directory – /var/www/abvxyz/uploads/wso.php

* WSO 웹쉘 화면