라우터 포렌식 - 정보수집

- 휘발성 정보 수집

router# show clock

router# show version

router# show users

router# show access-lists

router# show ip route

router# show arp

router# show stacks (crash 의 원인을 찾아낸다.)

* 시스테 IOS 11.2 부터는 show tech-support 명령어를 통해 한꺼번에 보여준다. 아래의 내용들이 포함됨

router# show version

router# show running-config

router# show stacks

router# show interface

router# show controller

router# show process cpu

router# show process memory

router# show buffers

- 라우터 메모리 덤프

 TFTP 

 router# exception dump <TFTP IP>

 FTP

 router# ip ftp usernaem <사용자 ID>
 router# ip ftp password <사용자 password>

 router# exception protocol ftp

 router# exception dump <FTP IP>

 RCP 

 router# exception protocol rcp

 router# exception dump <RCP IP>

 Flash Disk: 라우터에서 PCMCIA를 지원해야 함

 router# exception flash <procmem | iomem | all> <partition number> <erase | no_erase>

- 라우터 메모리 분석

   Recurity Lab에서 개발한 오픈소스 CIR을 이용한다.

   http://cir.recurity.com/CIR-1.1-GPLv3-bin.zip

* 출처: 디지털 포렌식의 세계 (이준형, 조정원 공저)