이번에는 NAS로 만들어진 데이터베이스 서버 복구 및 시스템 사용이력 분석사례를 알아보도록 하겠습니다.
특히, 서버에서 동작하는 소프트웨어를 서버소프트웨어(server software)라고 하고, 주로 리눅스 등의 운영체제를 설치한 대형컴퓨터를 쓰지만, 그렇지 않은 경우도 있습니다.
서버는 프린터제어나 파일관리등 네트워크전체를 감시•제어하거나, 메인프레임이나 공중망을 통한 다른네트워크과 의연결, 데이터•프로그램•파일 같은 소프트웨어자원이나 모뎀•팩스•프린터공유, 기타장비등 하드웨어자원을 공유할 수 있도록 도와주는 역할을 합니다.
서버는 사용자(클라이언트)의 요청에 의하여 서비스를 하는데 이와 같이 구성된 시스템을 클라이언트-서버 시스템이라고하며, 이는 하나 이상의 응용프로그램을 상호협력적인 환경에서 운용하는 분산처리 형태를 의미합니다.
즉, 서비스를 요청하는 클라이언트와 클라이언트의 요청을 처리하는 서버와의 협동작업을 통해서 사용자가 원하는 결과를 얻는 처리방식이 클라이언트-서버시스템입니다.
클라이언트의 수가 5~20대 정도인 소규모 LAN의 경우에는 한대의 서버로 충분히 모든 서비스를 소화할 수 있으나, 대규모 LAN의 경우에는 여러대의 서버를 배치하고, 파일관리는 파일서버, 프린터제어는 프린터서버, 인터넷 등의 외부와의 교환은 통신서버, 데이터베이스는 데이터베이스서버가 담당하는 등 각각 역할을 세분하게 됩니다.
<출처 : 위키백과>
모델 : WISEGIGA UB-2200A
종류 : NAS (Network Attached Storage)
용량 : 4TB
하드갯수 : 2개
하드디스크 용량 : 각 2TB
하드디스크 S/N : ****TLQA, ****TCRF
OS 이름 : Microsoft Windows Server 2003
설치시각 : 2007-09-13 20:18:25
이번에 의뢰된 NAS는 하드2개로 구성된 4TB 서버입니다.
A사에서는 이 서버를 데이터베이스서버로 활용하였는데요.
갑자기 다운되어 서버복구 및 시스템 사용이력 분석을 의뢰하게 되었습니다.
o 우선 NAS 시스템 복원을 통하여 시스템 복원 및 데이터 복구를 진행하였습니다.
o 주어진 서버에서 2015년 7월 31일부터 2015년 8월 2일까지의 시스템 사용 이력 분석을 진행하였습니다.
- 분석 결과의 무결성을 보존하기 위하여 디지털 포렌식 분석은 사본 이미지 파일을 이용하여 수행하였습니다
- 원본 하드디스크에 대한 변경 방지 조치를 수행하여 원본에 대한 변경이 없도록 포렌식 분석을 수행하였습니다.
o 분석결과
- 2015년 7월 **일 오전 *시 **분 **초에 컴퓨터를 이용하여 /Users/Desktop에 ***.xls 파일을 생성하였습니다.
이 엑셀파일은 데이터베이스에서 추출된 정보라고 판단되며, 서버의 데이터베이스 중 RMMST 테이블의 정보와 일치함을 확인할 수 있었습니다.
**** 중 략 ****
2015년 8월 *일 **시 **분 **초에 컴퓨터의 ***/****/***/ 에 aaa.sql 파일을 생성하였습니다. sql 파일은 오라클 데이터베이스에서 실행할 명령어를 저장한 파일입니다.
**** 이하생략 ****
이상과 같이 고장난 서버의 데이터복구 및 시스템 사용이력 분석을 완료하였습니다.
소중한 데이터뿐 아니라 누군가 고의로 소중한 정보를 유출했는지도 분석할 수 있습니다.
<데이터베이스 NAS 서버>
우선 《서버》(영어: server)는 클라이언트에게 네트워크를통해서비스를제공하는 컴퓨터(server computer) 또는 프로그램(server program)을말합니다.특히, 서버에서 동작하는 소프트웨어를 서버소프트웨어(server software)라고 하고, 주로 리눅스 등의 운영체제를 설치한 대형컴퓨터를 쓰지만, 그렇지 않은 경우도 있습니다.
<서랍형 서버>
서버는 프린터제어나 파일관리등 네트워크전체를 감시•제어하거나, 메인프레임이나 공중망을 통한 다른네트워크과 의연결, 데이터•프로그램•파일 같은 소프트웨어자원이나 모뎀•팩스•프린터공유, 기타장비등 하드웨어자원을 공유할 수 있도록 도와주는 역할을 합니다.
<서버룸>
서버는 사용자(클라이언트)의 요청에 의하여 서비스를 하는데 이와 같이 구성된 시스템을 클라이언트-서버 시스템이라고하며, 이는 하나 이상의 응용프로그램을 상호협력적인 환경에서 운용하는 분산처리 형태를 의미합니다.
즉, 서비스를 요청하는 클라이언트와 클라이언트의 요청을 처리하는 서버와의 협동작업을 통해서 사용자가 원하는 결과를 얻는 처리방식이 클라이언트-서버시스템입니다.
<서버 운용 사례>
클라이언트의 수가 5~20대 정도인 소규모 LAN의 경우에는 한대의 서버로 충분히 모든 서비스를 소화할 수 있으나, 대규모 LAN의 경우에는 여러대의 서버를 배치하고, 파일관리는 파일서버, 프린터제어는 프린터서버, 인터넷 등의 외부와의 교환은 통신서버, 데이터베이스는 데이터베이스서버가 담당하는 등 각각 역할을 세분하게 됩니다.
<출처 : 위키백과>
데이터베이스 서버 및 시스템 사용이력 분석 사례
모델 : WISEGIGA UB-2200A
종류 : NAS (Network Attached Storage)
용량 : 4TB
하드갯수 : 2개
하드디스크 용량 : 각 2TB
하드디스크 S/N : ****TLQA, ****TCRF
OS 이름 : Microsoft Windows Server 2003
설치시각 : 2007-09-13 20:18:25
<의뢰된 데이터베이스 NAS 서버>
이번에 의뢰된 NAS는 하드2개로 구성된 4TB 서버입니다.
A사에서는 이 서버를 데이터베이스서버로 활용하였는데요.
갑자기 다운되어 서버복구 및 시스템 사용이력 분석을 의뢰하게 되었습니다.
o 우선 NAS 시스템 복원을 통하여 시스템 복원 및 데이터 복구를 진행하였습니다.
o 주어진 서버에서 2015년 7월 31일부터 2015년 8월 2일까지의 시스템 사용 이력 분석을 진행하였습니다.
- 분석 결과의 무결성을 보존하기 위하여 디지털 포렌식 분석은 사본 이미지 파일을 이용하여 수행하였습니다
- 원본 하드디스크에 대한 변경 방지 조치를 수행하여 원본에 대한 변경이 없도록 포렌식 분석을 수행하였습니다.
o 분석결과
- 2015년 7월 **일 오전 *시 **분 **초에 컴퓨터를 이용하여 /Users/Desktop에 ***.xls 파일을 생성하였습니다.
이 엑셀파일은 데이터베이스에서 추출된 정보라고 판단되며, 서버의 데이터베이스 중 RMMST 테이블의 정보와 일치함을 확인할 수 있었습니다.
**** 중 략 ****
2015년 8월 *일 **시 **분 **초에 컴퓨터의 ***/****/***/ 에 aaa.sql 파일을 생성하였습니다. sql 파일은 오라클 데이터베이스에서 실행할 명령어를 저장한 파일입니다.
**** 이하생략 ****
이상과 같이 고장난 서버의 데이터복구 및 시스템 사용이력 분석을 완료하였습니다.
소중한 데이터뿐 아니라 누군가 고의로 소중한 정보를 유출했는지도 분석할 수 있습니다.
'지난자료 > 디지털포렌식' 카테고리의 다른 글
| 카카오톡 대화내용 삭제 카톡 복구 안되게 하기 (4) | 2015.10.01 |
|---|---|
| 디지털 포렌식(Digital Forensic) 전문가 활용 방법 (0) | 2015.09.11 |
| 불법감청 관련 스마트폰 스파이앱, 도청앱 분석 [디지털포렌식 분석사례] (0) | 2015.07.31 |
| 기술유출 경로파악 및 시스템 도면유출 사용흔적 감정 [디지털포렌식 분석사례] (0) | 2015.07.20 |
| 특허소송 분쟁 관련 캐드파일 위변조 여부 판별 [디지털포렌식 분석사례] (0) | 2015.07.09 |