디지털 포렌식 분석

 

디지털 포렌식 분석

1. 디스크 브라우징

 분석에서 기본이 되는 분석 대상은 확보한 저장 매체에서 수집한 저장매체의 이미지 파일이다. 이미지 파일의 내부를 재구성하여 별도의 응요 프로그램 없이 탐색할 수 있는 기술이 필요하다.
디스크 브라우징 툴로는 FTK, Encase, X-Ways Forensics, Autospy 등이 있다.

 

2. 데이터 뷰잉

파일 포맷이 있는 데이터를 가시적으로 확인할 수 있도록 디지털 데이터의 구조를 파악해서 시각적으로 출력하는 기술이다.
데이터 뷰일 툴 Transcript, Picture, Text, Report View 등이 있다.

 

3.  데이터 검색-일반 검색(키워드 검색)

로우 서치 - 단순한 일회성 검색일 경우 이용한다.
인덱스 서치 색인을 생성한 뒤 검색하는 방식 - 키워드를 바꾸어 가며 검색을 여러 번 수행할 경우 이용한다.
-파일 시그니쳐 검색
파일의 확장자와 시그니처가 일치해야 하지만 데이터 은닉을 위해 확장자를 변경하는 경우가 있으므로 확장자와 시그니쳐가 일치하는지 여부를 먼저 확인 필요하다.
- 해시 검색
기존에 구축된 알려진 파일의 해시 셋 을 사용하여, 조사 분석 대상을 식별하고 검색 수준을 선장 할 수 있는 기술이다.
- 슬랙검색
슬랙 공간을 검색하는 것으로 저장매체의 논리적 구조와 물리적 구조의 차이로 발생하는 낭비공간을 말한다.

 

4. 증거분석 기술

윈도 레지스트리 분석 : 운영체제의 설정과 선택항목을 담고 있는 데이터베이스로 해당 시스템의 모든 하드웨어 소프트웨어에 대한 정보와 설정이 저장되어 있다.
타임라인 구성 : 시간 정보는 범죄 사실을 규명하기 위해 매우 중요한 정보 시장정보를 이용하여 타임라인을 구성함으로 시스템 사용자의 행위를 추적

타임라인분석 : 파일들이 만들어진 시간 정보와 마지막으로 접근된 시간 정보 마지막으로 수정된 시간 정보들을 
NTFS 파일 시스템에서는 LogFile과 UsrJrnl이라는 시스템 파일이 존재하며 파일 시스템에 대한 사용 로그를 남기고 있으므로 다른 파일 시스템보다 많은 시간 정보를 얻을 수 있어 타임라인 분석이 좀 더용 이하다

 

압수물의 보관과 환부

압수물은 수사기관이 스스로 보관 관리함이 원칙이나 운반 또는 보관이 불편한 물건에 대해서는 간수자를 두거나 소유자 또는 적당한 자의 승낙을 얻어 보관할 수 있다. 위탁보관 시 보관자로부터 압수물건 보관증을 받아야 한다.

 

위험 발생 염려가 있는 암수 물건은 폐기할 수 있다. 폐기 조서를 작성하고 압수물 건의 사진을 첨부해야 한다.

예) 폭발물, 오염된 어패류, 육류
아동포르노, 불법 복제물인 경우 재판이 종료된 후 폐기 대상이지만 압수물의 일부만이 이에 해당하는 경우 이를 삭제하거나 암호를 설치하는 등으로 해당 부분의 열람을 불가능하게 한 후 환부하여야 한다.

 

압수의 대상인지 여부
전자적기록은 가시성 가독성을 갖추기 못한 무체 정보이기 때문에 압수 수색의 대상으로 될 수 있는가 논의가 있다.
압수 수색의 대상을 증거물 또는 몰수물이라고 하고 증거물이란 강제적으로 점유이전의 처분에 당하여 대체성이 없고 물리적으로 관리 가능한 유체물이라고 해석한다.
기록내용은 유체 물성을 결하고 있어 증거물이라고 할 수 없다.
학설상 대립은 있으나 전자적 기록과 자기 테이프 등의 전자적 기록매체와는 이론적으로 구별할 수 없고 일정한 프로그램에 의해 육안으로 읽을 수 있는 인쇄물이나 어떠한 형태로 출력된 것이라도 기록을 그래도 반영한 것이라는 관계가 인정되는 한 이르르 실질적으로 압수할 수 있다고 봄이 상당하다

임시 기억 장소에 기억된 휘발성 증거
컴퓨터 종료와 함께 삭제되는 네트워크 접속상태, 프로세스 구동 상태, 사용 중인 파일 내역 등의 휘발성 정보도 저장매체에 저장된 정보에 포함되는지 문제 된다.
저장기간에 차이가 있을 뿐 컴퓨터 전원이 꺼지지 않는 한 저장매체에 기록된 정보라는 사실에는 변함이 없으므로 저장매체에 기억된 정보로 보아야 한다.

 

휘발성 정보를 압수하는 경우에는 현신적으로 저장매체의 자체의 압수보다는 출력 복제하여 압수하는 방식이 우선적으로 고려해야 한다.
통신정보는 수신자가 확인하기 전에 분석해야 한다.
1. 발신자의 원본 파일이 패킷으로 분할되는 단계
2. 교환기에서 일시적으로 저장되는 단계
3. 다음 교환기 또는 단말기로 재전송되는 단계
4. 전송받는 패킷을 재조합하는 단계