Triage a Computer

John J. Barbara가 DFI에 올린 article에서 live system의 triage로써 "Pulling the Plug"가 항상 옳지만은 안다고, 상황을 적절히 판단해야 한다고 올린 내용에서 일부 발췌.

When Not to "Pull the Plug"

• What applications are installed
• Capture a list of running processes
• View network adaptors and open ports
• Collect browser histroy and IP addresses
• View most recently opened documents
• Obtain a list of users
• Gather a list of USB devices that have been plugged into the computer
• View the contents of the Recycle Bin, and so forth

The situations in which triaging would be a better alternative than removing power to a live system :

기업내의 수백대 이상 동작하고 있는 컴퓨터를 Pull the Plug?
Case에 관련 있지 않는 수 TB의 데이터를 모두 Collect ?
Removing power will most likely result in the loss of valuable probative data
Custodian중에서 internet cafe를 이용하는 사람이 있을 수도 있는데 이 경우 서버 전체보다는 가치 있는 intelligence information만을 collection


그렇지만, triaging을 위해서는 USB가 삽입되어야 하며 이는 하드디스크의 정보에 변화를 주므로 integrity에 문제를 발생. 요즘은 triage 전용 툴이 있으므로 이것을 활용하고 다음에는 이부분을 설명하도록 함.