디지털 포렌식: Difference between revisions
From IT Wiki
No edit summary |
(→디지털 증거) |
||
(One intermediate revision by one other user not shown) | |||
Line 1: | Line 1: | ||
[[분류:보안]][[분류:정보보안기사]] | |||
;Digital Forensic | ;Digital Forensic | ||
;디지털 기기를 대상으로 발생하는 특정 행위의 사실 관계를 법정에서 증명하기 위한 방법 및 절차 | ;디지털 기기를 대상으로 발생하는 특정 행위의 사실 관계를 법정에서 증명하기 위한 방법 및 절차 | ||
Line 10: | Line 11: | ||
* 휘발성 증거 | * 휘발성 증거 | ||
** '''일시적으로 메모리 혹은 임시파일에 저장되는 증거로 컴퓨터 종료 시 삭제되는 디지털 증거''' | ** '''일시적으로 메모리 혹은 임시파일에 저장되는 증거로 컴퓨터 종료 시 삭제되는 디지털 증거''' | ||
** 램 스랙 영역, 램 비할당 영역, 네트워크 설정 값, 네트워크 연결 정보, | ** 램 스랙 영역, 램 비할당 영역, 네트워크 설정 값, 네트워크 연결 정보, 실행 중인 프로세스, 열려진 파일, 로그인 세션, 운영체제 시간 | ||
** 휘발성이 높은 것부터 빨리 회수해야 한다. | ** 휘발성이 높은 것부터 빨리 회수해야 한다. | ||
*** ex) 레지스터→캐시→주기억장치(메모리)→임시파일→기타파일 | *** ex) 레지스터→캐시→주기억장치(메모리)→임시파일→기타파일 | ||
Line 57: | Line 58: | ||
* FTK | * FTK | ||
* Encase | * Encase | ||
Latest revision as of 20:31, 29 May 2020
- Digital Forensic
- 디지털 기기를 대상으로 발생하는 특정 행위의 사실 관계를 법정에서 증명하기 위한 방법 및 절차
디지털 증거[edit | edit source]
- 장치에 저장되거나 네트워크를 통해 전송 중인 자료로서 조사 및 수사에 필요한 증거자료
- 디지털 증거분석
- 장치 혹은 전송 중인 자료에 대한 원본 보존
- 사건 관련 증거를 과학적인 절차를 통하여 추출, 검증, 판단하는 조사·수사 과정
- 휘발성 증거
- 일시적으로 메모리 혹은 임시파일에 저장되는 증거로 컴퓨터 종료 시 삭제되는 디지털 증거
- 램 스랙 영역, 램 비할당 영역, 네트워크 설정 값, 네트워크 연결 정보, 실행 중인 프로세스, 열려진 파일, 로그인 세션, 운영체제 시간
- 휘발성이 높은 것부터 빨리 회수해야 한다.
- ex) 레지스터→캐시→주기억장치(메모리)→임시파일→기타파일
- 비휘발성 증거
- 컴퓨터 종료 시에도 저장매체에 남아 있는 디지털 증거
- 설정 값, 로그, 애플리케이션 파일, 데이터 파일, 스왑 파일, 덤프 파일, 하이버네이션 파일, 임시 파일
디지털 증거 수집 원칙[edit | edit source]
- 정당성의 원칙
- 증거 수집 및 절차의 적법성 여부
- 위법수집 증거 배제법칙
- 위법절차를 통해 수집된 증거는 증거 능력을 인정하지 않음
- ex) 해킹을 통해 수집한 증거는 채택 하지 않는다.
- 독수 독과 이론
- 위법하게 수집된 증거에서 얻어낸 2차 증거도 증거 능력을 인정하지 않음
- ex) 해킹으로 얻은 비밀번호로 특정 파일을 복호화 하여 얻은 증거도 인정하지 않는다.
- 재현의 원칙
- 같은 조건과 상황 하에 항상 같은 결과가 나와야 함
- ex) 불법 해킹 용의자의 해킹 툴이 증거 능력을 가지기 위해서는 같은 상황의 피해 시스템에 툴을 적용할 경우 동일한 결과가 나와야 한다.
- 신속성의 원칙
- 디지털 포렌식의 전 과정이 신속하게 진행 되어야 함
- 휘발성 데이터의 특성 상 수사 진행의 신속성에 따라 증거 수집 가능 여부가 달라진다.
- 연계 보관성의 원칙
- 증거물 수집부터 제출까지의 각 단계에서 담당자 및 책임자가 명확해야 함
- 증거획득 → 이송 → 분석 → 보관 → 법정제출
- 저장매체가 이동 단계에서 물리적 손상을 입었다면 이동 담당자는 이를 확인하고 내용을 정확히 인수인계하여 이후 적절한 조치가 취해지도록 해야 함
- 무결성의 원칙
- 수집된 증거가 위조, 변조되지 않아야 함
- 일반적으로 수집 당시 해시 값을 저장하여 증거 제출시 무결성 입증
절차[edit | edit source]
- 사전 준비 단계: 사건이 일어나기 전에 행해지는 활동으로 도구의 준비, 검증, 분석 교육 등의 활동
- 증거 수집 단계: 사건과 관련된 디지털기기에서 디지털 데이터를 수집하는 과정으로 수집 과정에서 데이터가 변조되지 않아야 함
- 포장 및 이송 단계: 수집된 데이터를 포장하여 분석실로 이송하는 과정으로 외부의 요인에 의해 변조되지 않아야 함
- 조사 분석 단계: 수집한 디지털 데이터를 분석하는 과정으로 다양한 디지털포렌식 분석 기술이 사용된다. 흔히, 디지털포렌식은 이 분야의 연구를 지칭
- 정밀 검토 단계: 분석되기까지의 각 단계의 검증을 비롯하여 분석 결과가 정확한지 검토하는 단계
- 보고서 작성 단계: 정밀 검토를 마친 결과를 바탕으로 분석된 결과를 법정에 제출하기 위해 객관적인 보고서를 작성하는 단계
로카르드의 교환 법칙[edit | edit source]
- Locard's exchange Principle
- 접촉하는 두 개체는 서로 흔적을 주고 받는다는 원칙
- 누구든 간에 동작 중인 시스템을 다루게 되면 해당 시스템은 변화가 발생한다.
디지털 포렌식 도구[edit | edit source]
- FTK
- Encase