디지털 포렌식

디지털포렌식이란

각종 디지털 기기나 인터넷에 있는 데이터를 수집ㆍ분석하여 범죄의 증거를 확보하는 수사 기법으로 사전적 의미로 사용된다.

 

디지털 포렌식의 유용성

로그기록 감시

데이터 복구

데이터의 추출 및 파기

 

디지털포렌식의 일반 원칙

정당성 : 디지털 포렌식 과정에서 획득된 모든 증거는 적법한 절차를 거쳐서 정당하게 획득한 것이 야한다는 원칙이다.

무결성 : 디지털 포렌식의 증거가 법정에 제출되기까지 변경이나 훼손 없이 보호되어야 한다.

연계보관성 : 디지털 포렌식에서 증거가 획득되고 난 뒤, 이송, 분석, 보관, 법정 제출의 일련의 과정 및 각 과정마다의 담당자가 명확하여야 한다.

재현성 : 동일한 조건과 동일한 상황 아래에서의 디지털 포렌식 분석 결과는 항상 같은 결과가 나와야 한다.

신속성 : 디지털 포렌식의 전 과정은 지체 없이 신속하게 진행되어야 한다.

디지털포렌식의 유형

시스템 포렌식 : 컴퓨터의 운영체제 응용프로그램 및 프로세스를 분석하여 증거를 확보하는 포렌식 분야이다.

디스크포렌식 : 물리적인 저장장치인 하드디스크, 플로피디스크, CD각종 보조기억장치에서 증거를 수집하고 분석하는 포렌식 분야이다.

네트워크포렌식 : 네트워크를 통하여 전송되는 데이터나 암호등을 분석하거나 네트워크 형태를 조사하여 단서를 찾아내는 포렌식 분야이다.

인터넷포렌식 : 인터넷으로 서비스되는  월드와이드웹,  FTP 등의 인터넷응용프로토콜을 사용하는 증거를 수집하는 포렌식 분야이다.

모바일 포렌식 : 휴대폰, PDA, 스마트폰, 디지털카메라 등 휴대용 기기에서 필요한 정보를 수집하여 분석하는 포렌식 분야이다.

데이터베이스 포렌식 : 데이터베이스 포렌식은 데이터 베이스로 부터 데이터를 추출 분석하여 증거를 획득하는 포렌식 분양이다.

암호 포렌식 : 문서나 시스템에서 암호를 찾아내는 포렌식 분야이다.

 

디지털 포렌식의 수행과정

증거의 획득 -> 증거분석 -> 증거보관 -> 증거 제출과 증거조사 -> 제3자의 검증

식별 -> 수집 -> 분석과 정리 -> 증거제출 -> 검증

 

포렌식 도구들 종류 및 조사 방법

전자적 증거의 수집기술

활성 시스템 조사 : 정상적으로 가동 중인 시스템을 말한다. 활성 시스템에서 전원이 차단되면 사라지는 정보인 휘발성 데이터와 전원의 존재 여부와 상관없이 장기적으로 유지되는 비휘발성 데이터를 모두 수집할 수 있다.

 

활성 시스템 휘발성 데이터 조사 방법

GUI보다 CUI도구를 사용한다.

물리메모리부터 수집원칙 휘발성 정도가 높은 것부터 수집한다.

CPU, 캐시 및 레지스터 데이터, 라우팅 테이블, ARP캐시, 프로세스 테이블, 커널 통계, 메모리, 임시파일 시스템/ 스웝공간, 하드디스크에 있는 데이터, 원격에 있는 로그 데이터, 아카이브 매체에 있는 데이터이다.

 

활성시스템 비휘발성 데이터 조사 방법

전원을 꺼도 사라지지 않는 데이터, 대상 시스템을 종료할 수 없는 경우, 활성시스템에서도 데이터 수집 및 분석이 필요 디스크 이미지 기반의 조사는 많은 시간을 소요하기 때문에 데이터 선별을 통해 사건과 관련된 비휘발성 데이터만을 수집하기로 한다.

 

포렌식 툴 명칭

하드웨어 쓰기 방지 툴 : tableau

이미징 하드웨어
media imager gm4
tableau forensic imager TX1
DIBS RAID  초기분석 및 증거 평가를 위해 증거 수준의 무결성 및 보안을 제공하며 빠른 사본을 만드는데 이상적인 장치이다.
Superimager

 

디스크 복제 및 포렌식 적인 방법으로 디스크 데이터를 추출할 때 사용하는 하드웨어 이미징 도구이다.

Falcon : 미국 logicube사에서 새롭게 출시한 제품으로 고속으로 데이터 수집 및 삭제가 가능하도록 제작

다른 이미징 하드웨어 장치와 달리 리눅스 기반으로 제작되었으면 고속의 데이터 복제 및 이미징이 가능하다.

이미징 소프트웨어

safeback - FBI, IRS의 범죄 수사부에서 포렌식 조사와 증거 수집 목적으로 사용한 도구. 법정에서의 논란을 막기 위해 이미지를 생성할 때는 어떤 압축이나 변형도 하지 않는다.

FTK - 분석된 데이터들을 데이버테이스에 저장하여 사용하는 데이터베이스 기반 포렌식 프로그램이다. 디스크이미징, 미리 보기, 디스크 마운팅, 활성데이터수집등을 할 수 있는 FTK Imager을 같이 제공한다.

Encase - CUI기반 프로그램인  safeback 와는 달리, 엔케이스는 포렌식 기술자들이 쉽게 사용할 수 있는 친숙한 GUI를 제공한다.

ProDiscover - 워크스테이션에 압축된 형태의 비트스트림사본을 생성, 디스크의 쓰레기 공간으로 부터 삭제된 파일 복구 윈도우 기반 시스템의 데이터 스트림에서 숨겨진 데이터 검색 기능을 제공한다.