Link Search Menu Expand Document
Jmini Story
bob 11th 지원대상자가 이수해야 할 사전 교육에 대한 학습 일지입니다.

3. 디지털 포렌식 수행

5단계 절차

1단계: 준비

  • 포렌식 툴 test
  • 장비 확보
  • 협조체계 확립

2단계: 증거물 획득

  • 현장 분석
  • snap shot
  • Disk Imaging
  • 증거물 인증

3단계: 보관 및 이송

  • Image 복사
  • 증거물 포장 및 운반

4단계: 분석 및 조사

  • 자료복구/검색
  • TimeLine 분석
  • Signature 분석
  • 은닉자료 검색
  • Hash/log 분석

5단계: 보고서 작성

  • 증거분석 결과
  • 증거 담당자 목록
  • 전문가 소견


> 준비 단계

디지털 증거 수사 매뉴얼/가이드라인 제정

  • 국제표준: RFC3227


> 증거물 획득 단계

  • 원본을 있는 그대로 보존하면서 수집

휘발성 데이터 수집

  • 원본을 보존할 수 없음
  • 최대한 원본과 유사한 형태로 수집(관련내역 모두 기록)
  • 감염 여부를 고려하여 “읽기”만 수행
  • 물리 메모리 내용을 우선 수집

비휘발성 데이터 수집

  • 쓰기 방지 장치를 부착하여 수집
  • 이미징 처리 장치 사용

조사 대상 매체 파악

  • 저장 매체와 디지털 증거의 위치 파악
  • 진정성과 신뢰성을 보장하면서 증거 수집
  • 저장매체를 빠짐 없이 파악

조사 대상 시스템 확보

  • 컴퓨터 확보
  • 기타 디지컬 기기 수집
  • 휴대용 저장 매체 확보

활성 시스템 조사(Live System)

  • 정상적으로 가동 중인 시스템
  • 활성/비활성 데이터의 수집의 필요
  • 수집 도구를 사용함으로써 시스템에 영향을 주는 요인 고려

디스크 이미징

  • 디스크 이미지: 원본 디스크에 저장되어 정보의 모든 비트 스트림을 포함하는 사본 파일
  • 디스크 이미지 생성: 조사 대상 시스템에서 Bootable CD를 활용한 디스크 이미징

임베드 시스템 증거 확보

  • 물리적 수집 방법(JTAG를 이용)
  • 논리적 수집 방법(파일,컨텐츠,백업 소프트웨어를 이용)

파일 시스템 분석

  • 파일 시스템에서의 삭제 파일 복구
    • FAT(0xE5)
    • NTFS($MFT==0x00)
  • 비할당 클러스터 분석
    • FAT(0X00)
    • NTFS(Entry 6번)
  • 슬랙 공간 분석
    • 슬랙: 사용하지 않는 파일의 공간
  • 시간 정보 분석
    • FAT(Entry)
    • NTFS(MFT Entry $STANDARD_INFORMATION, $Logfile,$UsrJrnl)
  • 부트 코드 분석
    • MBR
    • 부트 섹터
  • 미사용 영역 분석
    • MBR과 예약 영역 사이의 미사용 영역
  • 은닉 파일 분석
    • FAT(Attribute of offset11 ==0x02)
    • NTFS(offset 32-35 of $STANDARD_INFORMATION == 0x0002) ※ ADS: Alternate Data Stream. 하나의 파일이 두 개 이상의 데이터 속성을 가짐(feat. :)
  • 암호 파일 분석
  • $Boot 파일 분석
  • $BadClus 파일 분석

파일 복구

  • 파일을 삭제할 경우 단순히 메타정보의 특정 플래그만 변경
  • 예시(FAT)
    1. 부트 섹터의 BPB에서 데이터 영역, 루트 디렉터리, FAT 영역의 위치, 클러스터 크기를 획득
    2. \dir 디렉터리의 정보를 획득하기 위해 루트 디렉터리에 \dir1 에 해당하는 Directory Entry를 검색. 그 결과 \dir1 디렉터리 정보를 가지는 시작 클러스터가 80번임을 확인
    3. 클러스터 80번에서 삭제된 file1.dat 파일의 Directory Entry를 확인. 삭제 표시를 위해 파일 이름의 첫 바이트인 0x66(‘f’) 대신 0xE5 값이 기록되어 있음
    4. 삭제된 file1.dat 파일의 Directory에서 파일의 이름, 확장자, 크기, 시작 클러스터의 위치 확인
    5. 시작 클러스터에서 부터 파일 크기만큼 데이터를 획득한 후 저장할 위치에 Directory Entry에서 확인한 파일 이름과 확장자로 파일을 저장
  • 예시(NTFS)
    1. VBR의 BPB 정보에 MFT 시작 위치 정보를 획득하여 MFT 시작위치로 이동
    2. $MFT 파일의 $BITMAP 속성에서 현재 사용 중이지 않은 MFT Entry(0x00 값을 갖는) 정보를 획득
    3. $MFT 파일의 $DATA 속성에서 0x00 값을 갖는 MFT Entry를 대상으로 $FILE_NAME 속성의 파일 이름이 “file1.dat”를 갖는 MFT Entry를 확인. 그 결과 MFT Entry 301번이 해당 파일의 MFT Entry임을 확인
    4. MFT ENTRY 301번의 $FILE_NAME 속성에서 파일 크기를 확인. $DATA 속성을 확인한 결과 Non-resident 속성임을 확인. 따라서 Cluster Runs 정보를 기반으로 파일 크기만큼 데이터를 획득.
    5. 획득한 데이터를 저장할 위치에 앞에서 확인한 파일 이름으로 파일을 저장
  • 파일 카빙: 비할당 영역으로부터 파일을 복구(Header-[data]-Footer)


> 보관 및 이송 단계

  • 디지털 증거 압류
  • 복사본 작성(원본 입증: 해쉬값, 전자서명)


> 증거물 분석 단계

  • 디지털 포렌식 전문 도구를 활용한 분석 수행

브라우징 기술

  • Disk Browsing(프로그램 X)
  • EnCase 및 FinalData

데이터 뷰잉 기술

  • Hex-editor
  • REGA(윈도우 레지스트리 파일)
  • EnCase

검색 기술

  • 키워드 검색(인코딩 방식에 따른 검색)
  • 파일 검색(잘 알려진 파일들의 해쉬값 등을 이용)

타임라인 분석

  • 사고발생 당시의 시간 검증 및 파악
  • 파일 내부의 메타데이터에 저장된 시간 정보 활용

통계 분석

  • 사용자의 성향 분석
  • 확장자 분석
  • 특정 파일 접근 기록

로그 분석

  • 유닉스 시스템 로그 분석(Lastlog,Loginlog,Wtmp)
  • 윈도우 시스템 로그 분석(이벤트 로그 분석)
  • 웹 로그 분석(CLF: Common Log Format)
  • 로그 분석 도구
    • Event Log Explorer
    • Log Parser
    • Visual Log Parser

시각화 기술

  • 추상적인 자료를 인지가 가능하도록 만드는 기술
  • Open Knowledge Viewer(EnCase 프로그램)


> 보고서 작성 단계

  • 법정 제출용 보고서 작성
  • 디바이스 정보
  • 파일/레지스트리 분석 결과