kkuzil.own@gmail.com
1. 수사준비
- 포렌식 툴 검증
- 장비 확보
- 협조체계 확립
2. 증거물 획득
- 현장 분석
- 활성데이터 수집
- 디스크 이미징
- 증거물 인증
3. 보관 및 이송
- 이미지 복사
- 증거물 포장 및 운반
4. 분석 및 조사
- Time Line 분석
- Signature 분석
- Log 분석
- 데이터 복구
- 파일 및 단어 검색
- 패스워드 및 암호해독
5. 보고서 작성
- 증거 분석 결과
- 담당자 목록
- 전문가 소견
포렌식의 정의
과학 수사
● 사안의 진상을 정확하게 밝히기 위해 현대적 시설, 장비 기자재와 과학적 지식, 기수을 활용하는 수사
● 검찰, 경찰, 국정원, 기무사, 헌병대 등 수사기관의 활동
수사 과학
● 수사영역에 필요한 지식을 객관적인 뱅법으로 계통적으로 연구하는 활동
● 전문가, 감정가, 감식가 등 민간 분야 활동
포렌식과 과학수사, 수사과학
● 고도 정보화 사회에서 과학수사, 수사과 분야에서 네트워크, 시스템 등 정보처리 분야 기술들이 요
구
미국 Digital Forensic Research Workshop
● 범죄를 재현하거나 파괴적이고 비관적 행동들에 대한 예측을 손쉽게 하기 위해 디지털 증거물에
대한 보존, 수집, 확인, 식별, 분석, 해석, 문서화, 표현을 과학적으로 도출하고 증명된 방법을 사용
하여 수행하는 것
컴퓨터범죄 수사에 입각한 정의
● 컴퓨터 관련 수사를 지원하며 디지털 자료가 법적 효력을 갖도록 하는 과학적/논리적 절차와 방법
을 연구하는 학문
Computer Forensic의 정의
정의 : 컴퓨터를 매개로 이루어지는 행위에 대한 법적 증거 자료 확보를 위하여 컴퓨터 저장 매체등의
컴퓨터 시스템과 네트워크로 부터 자료(정보)를 수집, 분석 및 보존하여 법적 증거물로 제출 할
수 있도록 하는 일련의 행위
컴퓨터 포렌식의 결과물은 법적으로 인정되야 하므로, 컴퓨터를 포함한 기술적 문제를 포함하
고 있는 범죄의 전자증거물은 법적 요구사항을 반드시 수반해야 한다.
Computer Forensic 적용 범위
컴퓨터 범죄수사
스파이, 기술 유출, 공갈, 사기, 위조, 해킹, 사이버 테러
민사소송
명예훼손, 업무상 과실/재해, 내부 감사
침해사고 예방, 대응
방대한 표준 자료 구성, 증거 분석 결과를 기반으로 한 사고 대응 방안(추적, 증거확보)공유
컴퓨터 포렌식의 기본 원칙
컴퓨터 포렌식의 기본 5대 원칙
정당성의 원칙
● 입수 증거가 적법절차를 거쳐 얻어져야함
● 위법수집증거 배제법칙, 독수의 과실이론
재현의 원칙
● 피해직전과 같은 조건에서 현장 검증을 실시 하였다면, 피해 당시와 동일한 결과가 나와야함
신속성의 원칙
● 시스템의 휘발성 정보 수집 여부는 신속한 조칠에 의해 결정되므로 모든 과정은 지체 없이 신
속하게 진행되어야 함
연계 보관성의 원칙
● 증거물 획득 - 이송 - 분석 - 보관 - 법정 제출의 각 단계에서 담당자 및 책임자를 명확히 해야
함
무결성의 원칙
● 수집 증거가 위/변조 되지 않았음을 증명할 수 있어야 함
포렌식 절차
1단계 | 2단계 | 3단계 | 4단계 | 5단계 |
Preparation 수사 준비 |
Acquisition 증거 획득 |
Preservation 보관/이송 |
Exam/Analysis 검증/분석 |
Reporting 조사/보고서 |
-압수수색영장 -관리자 승인 -진술서 양식 -현장 채증장비 -자문가 연락처 -증거분석 툴 |
-획득 과정 기록 현장상황 시스템 구성 -메모리 덤프 -디스크복사.해싱 -네트워크/서버 로그,히스토리, 디렉토리 -관리자 진술/서명 |
-전자파 차폐용기 -반출/입 통제 -디스크 또는 파 일 해시값 관리 -적절한 온도, 습 도 유지 -먼지 없는 곳 -쓰기 금지 -라벨링 -회피물체(자성체) X-Ray |
-분석과정 명확 -기록 유지 -결과도출 논리적 -재현 가능 -증거물 훼손 및 내용 변경 금지 -백업본 사용, 분석 -다양한 기법 사용 |
-쉽고 평이하게 -과정을 명확하 게기록 -삭제 파일 -발견장소 경로등 |
포렌식과 기술(정보의 휘발성)
↑ UP 휘발성 DOWN ↓ |
Category |
DATA Type |
LIFE Time |
Cpu Storage |
Register |
보통 1-수 Cycle | |
Cache | |||
System Storage |
RAM |
System Shutdown 시 | |
Kernel |
NetWork 정보 | ||
Process 정보 | |||
Hard Disk |
SWAP Space |
OverWrite 되거나 삭제되면 사라지는 것으로 간주(OverWrite 되거나 삭제된 데이터는 차후 복구 가능) | |
Spool Directory | |||
TEMP Directory | |||
Log Directory, ETC | |||
이동식 저장매체 |
Floppy Disk, Tapes, CD-Rom Flash Memory | ||
Hard Copied Data |
매체가 파괴될때 까지 존재 |
포렌식 기술(종류)
구분 |
영역 |
비고 |
NETWORK/ SYSTEM |
-Router : Protocol 해독, 라우터 체크 -Server : 접속기록, 흔적(.history) |
불법취득, 증거력 없음 |
-Web : 방문자 기록, Copy Right 문제 | ||
Disk Forensic |
-비 휘발성 장치로부터 증거 획득, 분석 -디스크 내용, 무결성 유지, 부인방지 |
삭제파일 복구, 암호 해독 |
Application |
멀티미디어, DataBase | |
E-Mail : 전자우편 내용, 송신자 추적 | ||
Source Code : 원시코드 작성자 확인 실행코드와 원시 코드 상관관계 분석 | ||
Mobile |
-PDA, 전자수첩, 휴대폰 -전원 차단시 내장기록 소멸 |
증거물 보존성 문제 |
포렌식과 기술(도구)
제품 |
주요기능 |
사용장비 |
홈페이지 |
EnCase |
증거물 획득/분석/보고 |
Windows |
|
FTK |
증거물 획득/분석/보고 |
Windows |
|
TCT |
증거물 보고/분석 |
Linux |
|
dd |
증거물 획득 |
Linux |
|
WinHex |
증거물 복제/분석 |
Windows |
|
S&R |
증거물 검색 |
Windows |
|
FinalData |
삭제 파일, DB복구 |
W, L, U |
|
Lc4 |
패스워드 크랙 |
Windows |
포렌식과 기술(증거 획득 단계)
Feature Produts |
Image File Internet verification |
Imaged to appropriate media |
Imaging SCSI/IDE Drive |
URL |
Encase |
MD5, CRC |
Hard Drive Tape CD-R |
IDE, SCSI RAID |
|
DIBS |
DIVA |
Optical Media |
SCCSI, IDE |
|
Safe BackV2.0 |
CRC |
HardDrive, Tape, Removable media |
IDE |
|
SnapBack DATArrest |
MD5, CRC |
HDD, Tape, etc |
SCSI |
|
Linux DD V7.0 |
MD5, CRC |
HDD, Tape,,etc |
SCSI, IDE |
포렌식과 기술(증거분석 기법)
구분 |
내용 |
도구 |
Advanced Search |
File Directory, search |
|
Folder Browsing |
파일의 확장자, 해쉬값, 삭제파일 유무 |
|
Hash Analysis |
시스템내의 파일이 변경되었는가를 확인 알려진 파일과 같은 파일의 존재여부 확인 |
|
Signature ananysis |
확장자 이름을 변경한 파일을 파악 |
|
Timeline analysis |
파일 생성/변경/접근/삭제 시간, CMOS |
|
Log analysis |
Web browser log, Mail log, FTP log System booting log |
|
Process analysis |
-실행중인 프로세스의 메모리 내 용 조사 -의심 실행 파일조사(debugger 등) |
,pcat,Debugger,vmware |
삭제된 파일 복구 |
||
password cracking |
암호 파일에 대해 복호화 (Dictionary 대입, Brote force) |
[출처] (1)컴퓨터 포렌식이란?|작성자 윤경식