익명 사용자
로그인하지 않음
토론
기여
계정 만들기
로그인
IT위키
검색
디지털 포렌식
편집하기
IT위키
이름공간
문서
토론
더 보기
더 보기
문서 행위
읽기
편집
원본 편집
역사
경고:
로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다.
로그인
하거나
계정을 생성하면
편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.
스팸 방지 검사입니다. 이것을 입력하지
마세요
!
[[분류:보안]][[분류:정보보안기사]] ;Digital Forensic ;디지털 기기를 대상으로 발생하는 특정 행위의 사실 관계를 법정에서 증명하기 위한 방법 및 절차 == 디지털 증거 == ;장치에 저장되거나 네트워크를 통해 전송 중인 자료로서 조사 및 수사에 필요한 증거자료 * 디지털 증거분석 ** 장치 혹은 전송 중인 자료에 대한 원본 보존 ** 사건 관련 증거를 과학적인 절차를 통하여 추출, 검증, 판단하는 조사·수사 과정 * 휘발성 증거 ** '''일시적으로 메모리 혹은 임시파일에 저장되는 증거로 컴퓨터 종료 시 삭제되는 디지털 증거''' ** 램 스랙 영역, 램 비할당 영역, 네트워크 설정 값, 네트워크 연결 정보, 실행 중인 프로세스, 열려진 파일, 로그인 세션, 운영체제 시간 ** 휘발성이 높은 것부터 빨리 회수해야 한다. *** ex) 레지스터→캐시→주기억장치(메모리)→임시파일→기타파일 * 비휘발성 증거 ** '''컴퓨터 종료 시에도 저장매체에 남아 있는 디지털 증거''' ** 설정 값, 로그, 애플리케이션 파일, 데이터 파일, 스왑 파일, 덤프 파일, 하이버네이션 파일, 임시 파일 == 디지털 증거 수집 원칙 == * '''정당성의 원칙''' ** 증거 수집 및 절차의 적법성 여부 ** '''위법수집 증거 배제법칙''' *** 위법절차를 통해 수집된 증거는 증거 능력을 인정하지 않음 *** ex) 해킹을 통해 수집한 증거는 채택 하지 않는다. ** '''독수 독과 이론''' *** 위법하게 수집된 증거에서 얻어낸 2차 증거도 증거 능력을 인정하지 않음 *** ex) 해킹으로 얻은 비밀번호로 특정 파일을 복호화 하여 얻은 증거도 인정하지 않는다. * '''재현의 원칙''' ** 같은 조건과 상황 하에 항상 같은 결과가 나와야 함 ** ex) 불법 해킹 용의자의 해킹 툴이 증거 능력을 가지기 위해서는 같은 상황의 피해 시스템에 툴을 적용할 경우 동일한 결과가 나와야 한다. * '''신속성의 원칙''' ** 디지털 포렌식의 전 과정이 신속하게 진행 되어야 함 ** 휘발성 데이터의 특성 상 수사 진행의 신속성에 따라 증거 수집 가능 여부가 달라진다. * '''연계 보관성의 원칙''' ** 증거물 수집부터 제출까지의 각 단계에서 담당자 및 책임자가 명확해야 함 *:'''증거획득 → 이송 → 분석 → 보관 → 법정제출''' ** 저장매체가 이동 단계에서 물리적 손상을 입었다면 이동 담당자는 이를 확인하고 내용을 정확히 인수인계하여 이후 적절한 조치가 취해지도록 해야 함 * '''무결성의 원칙''' ** 수집된 증거가 위조, 변조되지 않아야 함 ** 일반적으로 수집 당시 해시 값을 저장하여 증거 제출시 무결성 입증 == 절차 == [[파일:포렌식 절차.png]] # '''사전 준비 단계''': 사건이 일어나기 전에 행해지는 활동으로 도구의 준비, 검증, 분석 교육 등의 활동 # '''증거 수집 단계''': 사건과 관련된 디지털기기에서 디지털 데이터를 수집하는 과정으로 수집 과정에서 데이터가 변조되지 않아야 함 # '''포장 및 이송 단계''': 수집된 데이터를 포장하여 분석실로 이송하는 과정으로 외부의 요인에 의해 변조되지 않아야 함 # '''조사 분석 단계''': 수집한 디지털 데이터를 분석하는 과정으로 다양한 디지털포렌식 분석 기술이 사용된다. 흔히, 디지털포렌식은 이 분야의 연구를 지칭 # '''정밀 검토 단계''': 분석되기까지의 각 단계의 검증을 비롯하여 분석 결과가 정확한지 검토하는 단계 # '''보고서 작성 단계''': 정밀 검토를 마친 결과를 바탕으로 분석된 결과를 법정에 제출하기 위해 객관적인 보고서를 작성하는 단계 == 로카르드의 교환 법칙 == ;Locard's exchange Principle * 접촉하는 두 개체는 서로 흔적을 주고 받는다는 원칙 * 누구든 간에 동작 중인 시스템을 다루게 되면 해당 시스템은 변화가 발생한다. == 디지털 포렌식 도구 == * FTK * Encase
요약:
IT위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는
IT위키:저작권
문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다.
저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소
편집 도움말
(새 창에서 열림)
둘러보기
둘러보기
대문
최근 바뀜
분류별 보기
일반 IT용어
프로젝트 관리
디지털 서비스
블록체인
인공지능
소프트웨어 공학
운영체제
컴퓨터 구조
자료 구조
데이터 과학
데이터베이스
네트워크
프로토콜
보안
컴플라이언스
개인정보보호
표준
경영학
기업 IT
조직/단체
광고
위키 도구
위키 도구
특수 문서 목록
문서 도구
문서 도구
사용자 문서 도구
더 보기
여기를 가리키는 문서
가리키는 글의 최근 바뀜
문서 정보
문서 기록