활성(라이브)데이터 vs 비활성 데이터

활성(라이브 데이터)

란 시스템 전원이 켜져 있는 상태에서 수집할 수 있는 데이터다.

비활성 데이터는 시스템 전원이 꺼져 있는 상태에서 수집할 수 있는 데이터.

 

활성 데이터는 포렌식을 할 때 휘발성 민감도(OOV)에 따라서 수집하게 된다.

수집할 때 주의해야 할 점은 시스템 흔적이 최소한으로 남게 시스템 스크립트/ 커맨드라인 명령을 사용해야한다.

이 명령어는 수집 대상 시스템의 명령이 아니고 사전 준비를 통한 명령어를 사용하게 된다.

 

활성데이터에는 이런 것들이 있음.

네트워크 정보 ->	프로세스 정보  ->	사용자 로그온 정보  ->	시스템 정보  ->
네트워크 인터페이스 정보  ->	작업스케줄러  ->	클립보드, 자동실행  ->	네트워크 패킷

 

화살표 순서가 휘발성 민감도에 따른 순서이다.

위에 순서에 따라 수집하게 된다.

 

비활성 데이터

는 시스템 전원이 꺼져 있는 상태에서 수집할 수 있는 데이터이다.

 

활성데이터와 비활성데이터 모두를 수집해 포렌식 분석에 사용하게 된다.

비활성 주요 데이터만으로 포렌식 분석의 80% 이상이 수행 가능하다.

 

비활성데이터에는 이런 것들이 있음.

파일시스템 메타데이터	파일시스템 로그/ 이벤트 로그	레지스트리, 프리패치	프리패치
바로가기/ 점프 목록	웹 브라우저 흔적	휴지통

 

비활성 데이터를 수집할 땐 커맨드라인을 사용해 수집이 가능해야하고 무결성을 유지해야 한다.