(2021.01.17)
이번에도 매우매우 간단간단하게 요약을 해보았다...
미국 책 번역한 책인데 우리나라에서도 이런식으로 적용되는지는 모르겠지만 그래도 비슷할 것 같다. 이 책을 읽으면 왠지 내가 포렌식 수사관이 된 기분...이다.
book.naver.com/bookdb/book_detail.nhn?bid=7007687
이제 시작이야! 디지털 포렌식
디지털 포렌식 입문을 위한 첫걸음『이제 시작이야! 디지털 포렌식』. 이 책은 디지털 포렌식에 새로이 입문하는 사람들에게 탄탄한 기초를 제공하는 입문서이다. 디지털 포렌식이 무엇인지,
book.naver.com
참고도서: 이제 시작이야! 디지털 포렌식
범죄 현장과 증거 수집
디지털 증거는 휘발성이기 때문에 보존하는 것이 매우 중요하다.
용의자의 매체를 가지고 포렌식 이미지나 클론을 만든다.
조사관은 원본이 아니라 클론으로 조사한다.
이동식 저장 매체
이동식 저장 매체에는 DVD, 외장 하드, USB 드라이브, 메모리 카드 등이 있다.
메모리 카드에는 엄청난 양의 증거가 들어있기 때문에 수사에 매우 중요하다.
휴대폰
휴대폰의 데이터는 사용자의 의도, 알리바이, 위치 등을 확인할 수 있다.
휴대폰 역시 데이터의 보존이 중요하다.
휴대폰은 전화국이나 소유자가 직접 원격으로 삭제할 수 있기 때문에 메모리 보존에 매우 취약하다.
그렇기 때문에 휴대폰을 네트워크에서 고립시키는 것이 매우 중요하다.
휘발성의 순서
수집할 증거의 우선순위를 정하는 것이 좋은데 일반적으로 휘발성의 순서대로 수집한다.
1. CPU, 캐시 및 레지스터 데이터
2. 라우팅 테이블, ARP 캐시, 프로세스 테이블, 커널 통계
3. 메모리
4. 임시 파일 시스템/스웝 공간
5. 하드 디스크에 있는 데이터
6. 원격에 있는 로그 데이터
7. 아카이브 매체에 있는 데이터
사건 현장 문서화
"문서로 남겨두지 않은 것은 실제로 있었던 일이 아니다"
사진
모든 현장은 사진으로 남겨야한다.
시리얼 번호, 손상상태, 연결 등에 주의를 기울이며 증거사진을 수집해야한다.
노트
현장에서 한 행동과 관찰한 내용에 초점을 맞춰서 노트에 적고, 분석한 후에 해석과 결론을 함께하는 것이 좋다.
오랜 시간이 지난 후 법정에서 증거를 제시하기 위해서는 보고서에 의존하기 때문에 노트를 읽기 쉽게 기록해야한다.
클로닝
포렌식 클론은 비트 하나 틀리지 않고 똑같은 하드 드라이브의 복사본을 의미한다.
== 비트 스트림 이미지
클로닝의 필요성
파일을 그냥 복사해서 붙여넣으면 활성 데이터만 복사되기 때문에
사용자가 접근할 수 있는 데이터에만 접근이 가능하고,
할당되지 않은 공간에 있는 데이터를 가져올 수 없다.
또한 파일 시스템 데이터를 복사할 수 없기 때문에
클로닝이 아니라 단순히 복사하게 된다면 그 조사결과는 비효과적이고 완전하지 않게 된다.
클로닝의 목적
디지털 증거는 휘발성이 강하다.
클론을 사용하여 조사하면 다시 원본 상태로 되돌릴 수 있다.
하드 드라이브는 망가지기 쉬운 하드웨어이기 때문에 클론이 두개가 있으면 하나는 조사, 하나는 백업용으로 이용하면 좋다.
클로닝 과정
하드 드라이브 클로닝 과정은 간단하다.
용의자의 드라이브는 소스 드라이브. 클로닝하는 드라이브는 데스티네이션 드라이브이다.
데스티네이션 드라이브는 적어도 소스 드라이브와 동일한 크기이거나 커야한다.
소스 드라이브는 주로 컴퓨터에서 탈작되어있다.
드라이브를 케이블로 클로닝 장비나 다른 컴퓨터에 연결한다.
시작하기 전에 쓰기 방지를 사용해야한다.
--> 하드웨어나 소프트웨어로 클로닝하는 동안 원본 증거를 보호한다.
쓰기 방지 장비는 소스 드라이브와 클로닝 장비 사이에 부착된다.
용의자의 드라이브를 클로닝하기 전에 데스티네이션 드라이브가 반드시 포렌식적으로 초기화되어 있어야한다.
초기화 과정은 하드 드라이브 전체를 111111과 같은 특정 패턴으로 덮는 것이다.
포렌식 이미지 형식
클로닝 과정의 최종 산출물은 소스 하드 드라이브의 포렌식 이미지이다.
일반적인 포렌식 이미지 형식
1. EnCase(확장자 .E01)
2. Raw dd(확장자 .001)
3. AccessData Custom Content Image(확장자 .AD1)
라이브 포렌식
위의 내용은 모두 전원이 꺼져있는 기기에 대한 내용이었다.
전원이 켜진 기기에 대한 조사는 라이브 포렌식이라고 한다.
실행 중인 컴퓨터의 메인 메모리 RAM에서 데이터를 수집하는 것은 실질적으로 불가능했지만
휘발설 데이터를 수집할 때 사용할 수 있는 다양한 상업용 및 오픈소스 툴이 출시되었다.
해싱
클론한 드라이브가 증거 드라이브를 완벽하게 복사한 건지 확인하기 위해서는 해시 값을 확인하면 된다.
해시는 암호화 해시 알고리즘으로 생성된 값이다.
해시 값은 암호화와 증거의 무결성을 증명하는 것을 포함하여 다양한 용도로 사용된다.
가장 많이 쓰이는 해시 함수는 MD5(Message Digest 5) 와 SHA(Secure Hashing Algorithm) 1 or 2 이다.
'Security > Digital Forensic' 카테고리의 다른 글
| [포렌식] NTFS Log Tracker 설치하기 + 사용법 (0) | 2021.01.21 |
|---|---|
| [포렌식] FTK Imager 설치하기 + 사용법 (0) | 2021.01.21 |
| [포렌식] 2주차 - 랩과 툴 (0) | 2021.01.17 |
| [포렌식] 1주차 - 헤더/푸터 시그니처, HxD/foremost 도구 사용법 (0) | 2021.01.05 |
| [포렌식] HxD Hex Editor 다운로드 및 설치 (0) | 2021.01.05 |
