imredzZ

[개념 정리] 03. 디지털 포렌식 절차 본문

[Digital Forensics]/개념

[개념 정리] 03. 디지털 포렌식 절차

hhaye_ 2024. 7. 23. 23:18

*디지털 포렌식의 다양한 수사 모델 중 단순히 증거 처리에만 중점을 둔 디지털 포렌식절차로 디지털 증거로부터 이미지 획득, 분석, 보고서 작성으로 세분화 

 

1. 증거물 획득 단계

  • 사고 발생 현장에서 디지털 증거를 수집하고 증거의 무결성을 확보하는 단계
  • 무결성 증거 자료의 신뢰성을 확보하기 위해서는 수집된 디지털 데이터가 변조 및 손상되지 않았음을 보장하는 것을 말함

보통은 디지털 저장매체는 휘발성 / 비휘발성으로 나눌 수 있음

(1) 휘발성 저장 매체

  • 정의 : 컴퓨터가 종료되면 모든 데이터가 사라져서 어떠한 정보도 복원할 수 없는 종류의 저장 매체를 의미
  • 예시 : DRAM 등

(2) 비휘발성 저장 매체

  • 정의 : 전원의 종료 여부와 관계 없이 데이터가 사라지지 않는 저장 매체 
  • 예시 : 하드 디스크, 플래시 메모리, CD, EEPROM 등

 

휘발성과 비휘발성에 따라 증거 수집은 비휘발성인 데드시스템 상에서의 증거 수집, 휘발성인 라이브 시스템 상에서의

증거 수집으로 나눌 수 있음

 

2. 증거물 분석 단계 

  • 증거 수집에서 얻어진 데이터들로부터 사건과 관련있는 유용한  정보를 얻어내는 단계

(1) 덤프 메모리 분석

  • 프로세스를 위한 가상 메모리는 보통 코드 영역, 데이터 영역, 스택 영역 등으로 나뉘어짐
  • 해당 영역에 사용자 ID 및 암호, 암호화된 디스크 암호, 계좌 정보, 해킹 증거 등을 알려면 메모리 분석이 필요함

(2) 레지스트리 분석

  • 레지스트리 : 운영 체제가 운영하는 데 필요한 모든 하드웨어, 소프트웨어, 사용자 및 시스템 정보 등을 담고 트리구조 데이터베이스
  • 의미 : 최근에 열었거나, 실행 및 수정한 문서를 알고 싶거나 프로그램 사용 흔적이나 장착된 외부저장장치 등을 분석하려면 필수적임

(3) Timeline 분석

  • 운영 체제가 커지고 또한 저장 매체가 대용량화됨에 따라 시스템에 저장된 파일의 수는 적어도 수십만 개가 넘어가고 있음
  • 분석해야 하는 매체도 다양함에 따라 이러한 파일들을 전부 분석하는 것을 불가능에 가까움

▶ 파일 시스템 : 파일들이 만들어진 시간 정보와 마지막으로 접근된 시간 정보, 마지막으로 수정된 시간 정보들을 가지고 있음

(4) 삭제된 파일 복구

  • 삭제된 파일들 : 범죄에 관련되었을 가능성이 높기 대문에 디지털 포렌식에 중요한 단서가 될 수 있음
  • 또한 지워진 파일들을 복구할 수 없더라도 파일이 존재했다는 사실만으로도 중요한 단서가 될 수 있음

(5) 로그 분석

  • 디지털 정보를 이용해서 사고의 경로를 추적하면서 원인 및과정을 알아내는 것이 필요함
    ▶ 이런 경우 로그 분석이 중요한 역할을 할 수 있음
  • 파일 시스템 로그 : 파일의 생성/수정/삭제 등에 대한 로그이며 NTFS 파일 시스템의 경우, 시스템 비정상에 대비하기 위한 트랜잭션 로그인 $LogFile, 그리고 파일이나 디렉토리 속성 변경 내용을 기록한 $UsnJrnl에 로그가 남아있음
  • 외부 저장 장치 사용 로그 : USB 등 외부저장장치는 설치 과정에서 드라이버 설치 로그파일과 레지스트리에 사용 로그가 남아 있음
  • 인터넷 사용 로그 :  Interent Explorerm Chrome, Safari 등 웹브라우저를 살펴보면 접근한 웹사이트, 관심목록, 접근 시간 등을 알아낼 수 있음. History, Cookie, Cache, Active X