내가찾은 신대륙 넥스트라인

제목	서버 내용 분석 스크립트

첨부파일	서버 내용 분석 스크립트.pdf	작성일	2007-10-24 17:04:15

작성자 : 기술지원부 조 태 준 tedcho@nextline.net

서버 내용 분석 스크립트

침해사고를 정확히 분석하기 위해서는 현재 구동중인 프로세스 정보나 네트워크 상태 정보 등 휘발성 증거를 수집해야 됩니다.
그리고 현재 피해시스템의 상황을 빠른 시간 안에 파악할 수 있는 방법이 필요하므로 윈도우 커맨드에서 실행되는 명령어들을 이용해 프로세스. 네트워크, 로그인 정보들을 수집해야 합니다.
이러한 정보들을 이용해 최대한 빨리 시스템의 변경내용이나 공격자의 흔적을 파악해야 합니다.

관련파일 다운로드 하기

1. 사용 방법

1.1 해킹관련 프로그램\서버 내용 분석 스크립트 폴더로 이동합니다
1.2 점검파일.bat 스크립트 파일을 실행합니다.
1.3 결과내용.txt 라는 파일이 생성됩니다.
1.4 결과내용.txt 파일의 내용을 확인하여 시스템의 정보를 확인 한다.

2. 분석 스크립트의 내용 은 아래와 같습니다.

@echo KISA INCIDENT FIRST DATA COLLECTION TOOL
@echo -------- Check Data, Start Time ---------
date/T
time/T
@echo -------- Get system information ---------
psinfo -h -s -d
@echo -------- Get Network info ---------------
ipconfig/all
@echo -------- Get Session info ---------------
net sess
netstat –na
nbtstat -c
net user
net share
net localgroup Administrators
@echo -------
fport/i
psloggedon
net start
pslist -t
time/T

3. 분석 스크립트의 내용

date /T : 시스템 날짜를 알려주는 명령어
time /T : 시스템 시간을 알려주는 명령어
psinfo–h–s–d : 설치된 핫픽스 및 소프트웨어 목록 정보, 하드디스크 정보
ipconfig/all : 시스템의 아이피 정보 수집
net sess : 공유 자원에 접속한 컴퓨터 정보 출력
netstat–na : 서비스 중인 포트 정보 및 연결된 아이피 정보
nbtstat–c : NBT에 연결된 세션 정보 출력
net user : 시스템에 존재하는 계정정보 출력
net share : 시스템 공유 정보 출력
net localgroup Administrators : 시스템에 존재하는 administrators 그룹정보 출력
fport/i : 서비스 중인 포트를 열고 있는 프로그램 정보
psloggedon : 현재 연결된 세션 정보 확인
net start : 시스템에 가동중인 서비스 리스트
pslist –t : 시스템에 강동중인 프로세스 리스트를 트리 모양으로 출력
time/T : 시스템 시간을 알려주는 명령어

4. 실질적인 예

4.1 점검파일.bat 파일을 실행