디지털 포렌식: Difference between revisions
From IT Wiki
No edit summary |
No edit summary |
||
Line 41: | Line 41: | ||
* 접촉하는 두 개체는 서로 흔적을 주고 받는다는 원칙 | * 접촉하는 두 개체는 서로 흔적을 주고 받는다는 원칙 | ||
* 누구든 간에 동작 중인 시스템을 다루게 되면 해당 시스템은 변화가 발생한다. | * 누구든 간에 동작 중인 시스템을 다루게 되면 해당 시스템은 변화가 발생한다. | ||
== 디지털 포렌식 도구 == | |||
* FTK | |||
* Encase |
Revision as of 17:35, 21 May 2018
- Digital Forensic
- 디지털 기기를 대상으로 발생하는 특정 행위의 사실 관계를 법정에서 증명하기 위한 방법 및 절차
디지털 증거
- 장치에 저장되거나 네트워크를 통해 전송 중인 자료로서 조사 및 수사에 필요한 증거자료
- 디지털 증거분석
- 장치 혹은 전송 중인 자료에 대한 원본 보존
- 사건 관련 증거를 과학적인 절차를 통하여 추출, 검증, 판단하는 조사·수사 과정
- 휘발성 증거
- 일시적으로 메모리 혹은 임시파일에 저장되는 증거로 컴퓨터 종료 시 삭제되는 디지털 증거
- 램 스랙 영역, 램 비할당 영역, 네트워크 설정 값, 네트워크 연결 정보, 힐행 중인 프로세스, 열려진 파일, 로그인 세션, 운영체제 시간
- 비휘발성 증거
- 컴퓨터 종료 시에도 저장매체에 남아 있는 디지털 증거
- 설정 값, 로그, 애플리케이션 파일, 데이터 파일, 스왑 파일, 덤프 파일, 하이버네이션 파일, 임시 파일
디지털 증거 수집 원칙
- 정당성의 원칙
- 증거 수집 및 절차의 적법성 여부
- 위법수집 증거 배제법칙
- 위법절차를 통해 수집된 증거는 증거 능력을 인정하지 않음
- ex) 해킹을 통해 수집한 증거는 채택 하지 않는다.
- 독수 독과 이론
- 위법하게 수집된 증거에서 얻어낸 2차 증거도 증거 능력을 인정하지 않음
- ex) 해킹으로 얻은 비밀번호로 특정 파일을 복호화 하여 얻은 증거도 인정하지 않는다.
- 재현의 원칙
- 같은 조건과 상황 하에 항상 같은 결과가 나와야 함
- ex) 불법 해킹 용의자의 해킹 툴이 증거 능력을 가지기 위해서는 같은 상황의 피해 시스템에 툴을 적용할 경우 동일한 결과가 나와야 한다.
- 신속성의 원칙
- 디지털 포렌식의 전 과정이 신속하게 진행 되어야 함
- 휘발성 데이터의 특성 상 수사 진행의 신속성에 따라 증거 수집 가능 여부가 달라진다.
- 절차 연속성의 원칙
- 증거물 수집부터 제출까지의 각 단계에서 담당자 및 책임자가 명확해야 함
- 저장매체가 이동 단계에서 물리적 손상을 입었다면 이동 담당자는 이를 확인하고 내용을 정확히 인수인계하여 이후 적절한 조치가 취해지도록 해야 함
- 무결성의 원칙
- 수집된 증거가 위조, 변조되지 않아야 함
- 일반적으로 수집 당시 해시 값을 저장하여 증거 제출시 무결성 입증
로카르드의 교환 법칙
- Locard's exchange Principle
- 접촉하는 두 개체는 서로 흔적을 주고 받는다는 원칙
- 누구든 간에 동작 중인 시스템을 다루게 되면 해당 시스템은 변화가 발생한다.
디지털 포렌식 도구
- FTK
- Encase