디지털 포렌식


포렌식은 범죄자를 잡기 위해 과학적인 수사기법을 활용하는 것이다.
디지털 포렌식
전자증거물들을 사법기관에 제출하기 위해 데이터를 수집 분석 보고서를 작성하는 일련의 작업이다
디지털 포렌식 증거물 
전자적 증거물 - 문서 인터넷 사용기록 방화벽 로그 사진 동영상 -> 사법기관으로 제출되어 형삿송법의 증거 능력에 부합되도록 사용
기본적단어

  1. 과학수사
    • 사건의 정확한 진상규명을 위해 현대적 기술 시설 장비와 과학적 기술 지식을 화용하는 수사
    • 예를 들면 DNA, 빅데이터 분석
  2. 디지털 데이터 
    • 컴퓨터 휴대폰등의 디지털 기기에 존재하는 데이터 -> 사진 메모장 
  3. 디지털 증거
    • 디지터 포렌식 기법을 활용하여 수집된 디지털 데이터로 법정에서 증거 능력을 가진다

디지털 포렌식의 유형

  • 디스크 포렌식 -> 비휘발성 저장매체 ( ssd,usb,cd,하드디스크)
  • 활성데이터 포렌식 -> 휘발성데이터 대상으로 증거 분석
  • 네트워크 포렌식 -> 네트워크를 통해서 전송되는 데이터를 증거로 획득하고 분석
  • 이메일 포렌식 -> 이메일 데이터로부터 송신자와 수신자 보낸시간,받는시간 그 내용에 대한 내용
  • 웹포렌식 -> 웹 브라우저에는 검색기록이 다 들어가 있다  쿠키나 히스토리 임시파일들이 저장되어 있는 임시파일이 있다. 이런걸 분석해서 사용흔적 분석
  • 모바일 임베디드 포렌식 ->휴대폰 pda 네비게이션 이런걸로 정보 획득 -> 범죄자가 네비게이션으로 어디를 갔는지 확인가능
  • 멀티미디어 포렌식
  • 소스코드 포렌식
  • 데이터 베이스 포렌식



디지털 증거의 특징

  • 비가시성
  • 변조의 가능성
  • 복재용의성
  • 대규모성 -> 많은 데이터로부터 우리가 필요한것만 뽑아내는 기술 필터링 필요
  • 휘발성
  • 초국경성 -> 인터넷의 발달로 인해 데이터의 영향범위가 국경을 초월

디지털 포렌식의 기술들

  • 디바이스 포렌식 - 저장매체 복구,복제
  • 데이터 포렌식 - 의미있는 데이터 검색, 파일,브라우저 데이터 추적
  • 시스템,네트워크 포렌식 - 네트워크안에서 패킷 교환 추적 파일,로그분석
  • 타임라인 기술
    • 디지털 증거인 파일로부터 생성 수정등의 시간 정보추출
    • 여러개의 파일들을 디지털 증거로 획득했을 때 그 파일들이 언제 생성되고 누가 언제 파일에 대한 수정??
    • 타임라인 기술에서 주의할점
      1. 파일시스템의 방식에 따라서시간 정보의 형태가 다르다.
      2. fat 파일 형태는 로컬시간을 따르고 NTFS는 유니버셜 타임존을 따른다
      3. FAT은 파일이 생성된 시간 날짜 파일에 접근한 날짜
      4. NTFS는 파일이 생성된 시간,파일 내용이 수정된 시간, 파일에 접근된 시간  
    • 시간분석의 필요성
      1. 말웨어가 모든 시간정보처리하는 것은 불가능
      2. 어떤 방식으로 공격이 이루어졌는지 확인가능
      3. 공격자의 공격 타임라인 증거로 확보 가능
      4. 공격에 대한 큰 그림 파악하는데 도움

데이터 복구

  1. 물리적 복구 - > 저장매체의 물리.전자적 복구
  2. 논리적 복구 -> 삭제 훼손된 파일.파일시스템 복구

파일들이 저장될 때 형식을 가지고 저장된다

파일이 저장되기 위해서는 

  1. MBR이라는 물리적인 부트섹터
  2. BOOT일라는 논리적인 부트색터
  3. FAT이라는 데이터 area의 저장위치

 

파일이 delete을 눌렀을떄 모든 파일들이 지워지는 것이 아니라 FAT이 지워지는것

즉 data area와 FAT의 연결고리가 깨지는것

그래서 실제 데이터는 남아있는 상태이기 때문에 데이터복구를 통해서 복구 가능한다
그러나 loW fORMAT Rewrite등의 기술을 하면 데이터 area가 훼손되는거라 복구하기 힘들다.


안티 포렌식 기술

  • 데이터 삭제
  • 하드디스크 와이핑
  • 데이터 암호화
  • 스테가노그래픽 은닉기법
    • 사진안에 정보들이 압축되어서 사진에 붙어있는것
    • 스테가노그래픽 기법이 적용된 파일의 사진은 이미지 뷰어로 보면 똑같지만 사이즈가 크다
  • 임베디드 포랜식에는 기존의 파일시스템-운영체제가 사용하는 파티션외에 추가적인 파티션 생성을 통해 데이터를 은닉해 안티포렌식 가능



디지털 포렌식의 절차

  1. 조사준비 - 사건 발생 확인
  2. 현장 통제및 보존
  3. 증거 확보 수집
  4. 운반확인
  5. 조사 분석
  6. 보고증언 후 법정제출

 

디지털 증거의 요건

  1. 동일성 - 이미지 작업을 통해 생성된 파일의 내용과 출력된 문건에 기재된 내용이 동일함을 확인
  2. 무결성 - 디지털 저장매채 원본이 입수된 이후 문건 출력에 이르기까지 변경되 지 않음이 담보
    • 무결성을 입증하는것이 해시 알고리즘
    •  
  3. 신뢰성 - 컴퓨터의 기계적 정확성 프로그램의 신뢰성 , 조작자의 전문적인 기술 능력과 정확성

 

해시알고리즘

  • 임의의 길이의 입력데이터를 고정된 길이의 출력데이터로 변환해주는 알고리즘
  • 출력을 넣었을때 입력은 나오지 않는 단방향
  • 무결성 입증 방향
    • 증거 획득후 그 자리에서 증거에 대한 해시 값 추출해서 이걸 증거로 한다
    • 법원에서 증거물 제출시 해시알고리즘 적용해서 비교

 

 

'4-2학기 > 정보보호와 보안의기초' 카테고리의 다른 글

1주차 - 정보보호개론  (0) 2024.12.08
9주차 Identity theft  (0) 2024.12.04
8주차 - 네트워크 패킷 분석  (1) 2024.12.02
6주차 바이러스 * 웜 * 트로이 목마  (0) 2024.11.27
5주차 암호에 대한 이해와 활용  (2) 2024.11.26

티스토리툴바