[포렌식] 3주차 - 인터넷과 이메일

(2021.01.26)

 

스터디 3주차에서 공부한 두번째 내용은 chapter 8 - 인터넷과 이메일 이다.

웹에 대한 설명이 많았다. 

지금까지 읽었던 것 중에 가장 친근감있는 부분이다.

 

book.naver.com/bookdb/book_detail.nhn?bid=7007687

이제 시작이야! 디지털 포렌식

참고도서: 이제 시작이야! 디지털 포렌식

 

---

 

| 인터넷

URL(Uniform Resource Locator) 을 브라우저에 입력하면 웹 페이지에 접속이 가능함

URL은 호스트, 도메인 이름, 파일이름 이렇게 3가지로 구성되어있음

 

http://www.digitalforensics.com 

 

HTTP(Hyper Transfer Protocol): 인터넷에서 사용되는 프로토콜, 웹사이트를 보고 사용하는데 활용

프로토콜은 다른 장비와 통신할 수 있도록 사전에 협의한 방법임

 

도메인 이름

위의 예에서는 digitalforensics 가 도메인 이름임

 

최상위 도메인

인터넷 도메인 네임 시스템을 수겅하는 요소 중에서 최상단에 위치해있음

위의 예에서는 .com 

 

 

https://joshua1988.github.io/web-development/http-part1/

 

 

 

브라우저는 HTTP 프로토콜을 사용하여 http://www.digitalforensics.com 을 호스트하는 서버에 get 요청을 전송함

브라우저는 인터넷에 있는 정보를 보고 접속할 때 사용하는 프로그램임

(마이크로소프트의 인터넷 익스플로러, 모질라의 파이어폭스, 구글의 크롬)

 

URL을 입력한 후에 브라우저가 가장 먼저 해야할 일은 도메인 이름을 IP(Internet Protocol) 주소로 변환하는 것

인터넷은 IP 주소로 작동하고, 도메인 이름 자체로는 아무것도 할 수 없음

도메인 이름은 사람들이 기억하기 쉽게 하는 것일 뿐임

 

도메인 네임 서버(DNS)가 특정 도메인 이름을 그에 해당하는 IP주소로 변환하는 역할을 함

DNS가 이러한 변환을 한 뒤에 웹사이트를 호스트하고 있는 서버에 요청이 전송됨

서버는 요청을 받아서 요청된 웹 페이지와 관련된 내용을 보여줌

 

 

HTML에는 브라우저에서 페이지가 표시되는 방법, 페이지의 내용 등 많은 정보가 저장되어있음

이미지 파일같은 웹 페이지를 구성하고 있는 요소의 파일이름 또한 포함함

HTML은 프로그래밍 언어가 아님!!

 

정적 웹페이지 와 동적 웹페이지

- 정적 웹페이지는 이미 만들어져 있는 페이지

- 동적 웹페이지는 데이터베이스에 저장되어 있는 여러 구성요소로 만들어짐

 

 

 

P2P(Peer-to-Peer)

P2P는 파일을 공유하는데 주로 사용됨

P2P가 클라이언트/서버 네트워크와 다른 것은 하나의 컴퓨터가 (클라이언트와 서버) 두가지 역할을 할 수 있다는 것임

 

INDEX.DAT 파일

INDX.DAT 은 바이너리 파일로 마이크로소프트의 인터넷 익스플로러가 사용됨

--> 한 시스템에는 여러개의 INDEX.DAT 파일이 있음

--> 다양한 정보가 기록되고 유지됨

FTK와 EnCase는 모두 INDEX.DAT 파일을 해독할 수 있는 기능이 있음

히스토리, 쿠키, 임시 인터넷 파일 3개의 디렉터리의 정보와 내용을 기록하고 유지할 수 있음

 

 

 

| 웹 브라우저 - 인터넷 익스플로러

웹 브라우저로 가장 널리 사용되는 것은 마이크로소프트의 인터넷 익스플로러임

나는 구글의 크롬을 쓰기는 하지만,,, 이 책에는 인터넷 익스플로러에 대한 설명만 있으니 일단 이를 정리했음

 

쿠키

- 쿠키는 웹 서버가 사용자의 컴퓨터에 저장해놓은 조그마한 텍스트 파일임

- 쿠키는 세션을 관리하는데 사용될 뿐만 아니라 특정 웹 사이트에서 사용자의 선호사항을 기억하는 데에도 사용됨

- 쿠키는 매우 중요한 증거를 제공하며 하나의 INDEX.DAT 파일에서 관리됨

--> 이 파일에는 URL, 날짜와 시간, 사용자 이름 등이 저장되어 있음

(주의사항은 실제로 그 사이트를 방문하지 않아도 쿠키에서 웹 주소가 발견될 수 있다는 것)

 

임시 인터넷 파일 (웹 캐시)

- 캐시는 웹 페이지 구성요소를 재사용하여 속도를 향상시킴

- 웹 캐시를 임시 인터넷 파일 이라고 부름

- 임시 인터넷 파일은 INDEX.DAT 파일을 사용하여 관리함

- 실제 파일들은 임시 인터넷 폴더의 하부 디렉터리에 저장되어 있음

- INDEX.DAT 은 특정 파일이 어디에 있는지 관리함

 

 

 

| 인터넷 기록

마이크로소프트의 인터넷 익스플로러는 사용자의 기록을 유지함

INDEX.DAT 파일은 다른 세부내용도 유지관리함

인터넷 기록은 여러 개의 폴더와 INDEX.DAT 파일들로 구성됨

 

NTUSER.DAT 파일

- 설정과 각 사용자 프로파일을 위한 정보를 젖장함

- 실제로는 레지스트리 파일이지만 NTUSER.DAT 은 사용자 폴더에 저장되어있음

 

 

 

| 레지스트리에 있는 인터넷 익스플로러의 흔적

인터넷 익스플로러는 레지스트리에 많은 흔적을 남긴다. 

--> 이는 NTUSER.DAT 에 저장되어있음

 

레지스트리는 사용자가 주소창에 어떤 URL을 입력했는지도 확인할 수 있음

사람은 레지스트리를 직접 읽을 수 없음

--> 마이크로소츠트의 RedEdit, 할란카비의 RegRipper, AcessData의 Registry Viewer 등 툴을 이용해야함

 

 

 

| IRC(Internet Reply Chat)

- IRC는 대규모 채팅 네트워크로 특정 업체나 단체가 통제하는 것이 아님

- 정식적인 등록과정이 엇어서 사용자는 거의 완전한 익명성을 보장받음

- IRC는 무료이며, IRC 네트워크는 Indernet, IRCnet, EFnet 등 여러 개의 소규모 네트워크로 구성되어있음

- 클라이언트 직접 연결기능(DCC) 이 있음

--> 두 사용자가 하나의 컴퓨터에서 상대방의 컴퓨터로 직접 연결할 수 있게 해줌

----> 이러한 통신 모드는 사생활을 완전히 보장함 

------> 이러한 트래칙은 네트워크 서버를 통과하지 않기 때문에 아무런 증거가 남지않음

 

 

| ICQ("I Seek You")

- 또 다른 메신저 프로그램임

- IRC와는 다르게 등록과정이 있으며 등록된 사용자에게는 사용자 식별번호 또는 UIN이 부여됨

- ICQ의 대화는 높은 수준의 프라이버시를 유지함

- ICQ는 중앙 서버를 통해 트래픽을 라우팅하고 있어 서버만 찾으면, 일부 흔적이 서버에 남아있음

 

 

 

| 이메일

이메일을 접속하고 관리하는 방법에는 2가지가 있다.

1. 인터넷으로 접속하는 방법 --> 웹 브라우저를 사용하여 할 수 있음

(ex. 구글의 지메일, 마이크로소프트의 핫메일)

2. 이메일 클라이언트 프로그램을 사용하는 방법 --> 이메일 전용 프로그램

(ex. MS의 아웃룩)

 

이메일 프로토콜

이메일은 다양한 프로토콜을 사용하여 이메일을 송수한한다.

- 단순 우편전송 규약(SMTP) : 이메일 클라이언트가 이메일을 보내거나 서버가 이메일 송수신할 때 사용함

- 우체국 프로토콜(POP) : 이메일 클라이언트가 이메일을 받을 때 사용함

- 아이맵(IMAP) : 양방향 통신 프로토콜로 클라이언트가 서버에 있는 이메일에 접근할 때 사용함

 

증거로서의 이메일

이메일의 주요 구성요소는 헤더, 바디, 첨부파일 임

전송한 모든 이메일 메시지에는 헤더가 있음

--> 헤더는 송신자가 수신자로 이메일을 보낼 때 서쳤던 경로 정보를 기록함

 

이메일 헤더

이메일 헤더는 발송자가 수신자에게 메시지를 보낼 때 메시지가 사용한 경로를 기록함

이메일 헤더 정보는 아래에서 위로 읽어야함

 

예를 들어 gmail을 보면

 

점 3개 누르고 원본보기 누르면

이런식으로 이메일 헤더가 나옴

 

 

이메일 흔적 지우기

스푸핑(spoof)은 이메일이 실제로 다른사람/다른위치에서 보내진 것 처럼 보이게 위조하는 것임

스푸핑해주는 무료 소프트웨어가 있음

 

이메일 추적하기

이메일 메시지를 추적할 때에는 로그에 의존함

이메일 경로에 있는 각 서버는 메시지 헤더에 정보를 추가함

--> 그 정보 중의 하나가 메시지 ID 임

---> 메시지 ID는 이메일 서버가 할당하는 고유번호임

메시지 ID 와 서버의 로그의 상관관계를 확인하면 특정 컴퓨터에서 메시지가 송수신되었다는 것을 증명할 수 있게됨