kkuzil.own@gmail.com

Posted
Filed under 추억
사용자 삽입 이미지


파떳 패밀리와 함께한 생일저녁^^ 생각지 못하게 갑자기 잡은 약속에
모두들 의리상(?) 빠지지 않고 달려와 줘서 넘 고마워~!!
너무너무 재밌게 먹고 놀다 왔습니다^ㅁ^ ㅋㅋ

ps. 이 사진은 세나가 만들었음.ㅋ
2008/11/10 15:11 2008/11/10 15:11
Posted
Filed under Forensic
2008/11/05 13:10 2008/11/05 13:10
Posted
Filed under Forensic

1. 수사준비
    - 포렌식 툴 검증
    - 장비 확보
    - 협조체계 확립

2. 증거물 획득
    - 현장 분석
    - 활성데이터 수집
    - 디스크 이미징
    - 증거물 인증

3. 보관 및 이송
    - 이미지 복사
    - 증거물 포장 및 운반

4. 분석 및 조사
    - Time Line 분석
    - Signature 분석
    - Log 분석
    - 데이터 복구
    - 파일 및 단어 검색
    - 패스워드 및 암호해독

5. 보고서 작성
    - 증거 분석 결과
    - 담당자 목록
    - 전문가 소견

2008/11/05 12:49 2008/11/05 12:49
Posted
Filed under 주절주절
유가환급금 신청하고.. 2차 건강검진 받고..
회사와서 이것저것 하다 보니 벌써 해가 저물었다..

요즘 할일은 많은데.. 일하는 분량은 적고.. 마음만 자꾸 조급하다.
밤에 잠도 안오고.. 아~ 빨리 자신감 되찾고 일에 몰두하고 싶다..
그런데.. 쉽지 않네.. 에휴..
2008/11/04 17:39 2008/11/04 17:39
Posted
Filed under Forensic

포렌식의 정의


과학 수사

 ● 사안의 진상을 정확하게 밝히기 위해 현대적 시설, 장비 기자재와 과학적 지식, 기수을 활용하는 수사

 ● 검찰, 경찰, 국정원, 기무사, 헌병대 등 수사기관의 활동


수사 과학

  수사영역에 필요한 지식을 객관적인 뱅법으로 계통적으로 연구하는 활동

 전문가, 감정가, 감식가 등 민간 분야 활동


포렌식과 과학수사, 수사과학

 고도 정보화 사회에서 과학수사, 수사과 분야에서 네트워크, 시스템 등 정보처리 분야 기술들이 요

    구


미국 Digital Forensic Research Workshop

 범죄를 재현하거나 파괴적이고 비관적 행동들에 대한 예측을 손쉽게 하기 위해 디지털 증거물에  

    대한 보존, 수집, 확인, 식별, 분석, 해석, 문서화, 표현을 과학적으로 도출하고 증명된 방법을 사용

    하여 수행하는 것


컴퓨터범죄 수사에 입각한 정의

 ● 컴퓨터 관련 수사를 지원하며 디지털 자료가 법적 효력을 갖도록 하는 과학적/논리적 절차와 방법

    을 연구하는 학문


Computer Forensic의 정의


정의 : 컴퓨터를 매개로 이루어지는 행위에 대한 법적 증거 자료 확보를 위하여 컴퓨터 저장 매체등의

         컴퓨터 시스템과 네트워크로 부터 자료(정보)를 수집, 분석 및 보존하여 법적 증거물로 제출 할

         수 있도록 하는 일련의 행위

         컴퓨터 포렌식의 결과물은 법적으로 인정되야 하므로, 컴퓨터를 포함한 기술적 문제를 포함하

         고 있는 범죄의 전자증거물은 법적 요구사항을 반드시 수반해야 한다.


Computer Forensic 적용 범위


 컴퓨터 범죄수사

   스파이, 기술 유출, 공갈, 사기, 위조, 해킹, 사이버 테러

 민사소송

  명예훼손, 업무상 과실/재해, 내부 감사

 침해사고 예방, 대응

  방대한 표준 자료 구성, 증거 분석 결과를 기반으로 한 사고 대응 방안(추적, 증거확보)공유


컴퓨터 포렌식의 기본 원칙

 컴퓨터 포렌식의 기본 5대 원칙

    정당성의 원칙

      입수 증거가 적법절차를 거쳐 얻어져야함

      위법수집증거 배제법칙, 독수의 과실이론

    재현의 원칙

       피해직전과 같은 조건에서 현장 검증을 실시 하였다면, 피해 당시와 동일한 결과가 나와야함

    신속성의 원칙

      시스템의 휘발성 정보 수집 여부는 신속한 조칠에 의해 결정되므로 모든 과정은 지체 없이 신

         속하게 진행되어야 함

    연계 보관성의 원칙

      증거물 획득 - 이송 - 분석 - 보관 - 법정 제출의 각 단계에서 담당자 및 책임자를 명확히 해야

         함

    무결성의 원칙

      수집 증거가 위/변조 되지 않았음을 증명할 수 있어야 함


포렌식 절차

 1단계  2단계 3단계 4단계 5단계

 Preparation

수사 준비

 Acquisition

증거 획득

Preservation

보관/이송

Exam/Analysis

검증/분석

Reporting

조사/보고서

-압수수색영장

-관리자 승인

-진술서 양식

-현장 채증장비

-자문가 연락처

-증거분석 툴

-획득 과정 기록

  현장상황

  시스템 구성

-메모리 덤프

-디스크복사.해싱

-네트워크/서버

  로그,히스토리,

  디렉토리

-관리자 진술/서명

-전자파 차폐용기

-반출/입 통제

-디스크 또는 파

 일 해시값 관리

-적절한 온도, 습

 도 유지

-먼지 없는 곳

-쓰기 금지

-라벨링

-회피물체(자성체)

X-Ray

 

-분석과정 명확

-기록 유지

-결과도출 논리적

-재현 가능

-증거물 훼손 및

  내용 변경 금지

-백업본 사용, 분석

-다양한 기법 사용

 

-쉽고 평이하게

-과정을 명확하

  게기록

-삭제 파일

-발견장소 경로등


포렌식과 기술(정보의 휘발성)






 


 UP



휘발성



DOWN








 Category

DATA Type

LIFE Time


 Cpu Storage

 Register

 보통 1-수 Cycle


 Cache

 System Storage

 RAM

 System Shutdown 시



 Kernel


 NetWork 정보

 Process 정보

 Hard Disk




 SWAP Space

OverWrite 되거나 삭제되면 사라지는 것으로 간주(OverWrite 되거나 삭제된 데이터는 차후 복구 가능)





 Spool Directory

 TEMP Directory

 Log Directory, ETC

 이동식 저장매체

 Floppy Disk, Tapes,

 CD-Rom

 Flash Memory


 Hard Copied Data

 매체가 파괴될때 까지 

 존재


포렌식 기술(종류)

구분

영역

비고

NETWORK/

SYSTEM

-Router : Protocol 해독, 라우터 체크

-Server : 접속기록, 흔적(.history)

불법취득, 증거력 없음

-Web : 방문자 기록, Copy Right 문제

Disk Forensic

-비 휘발성 장치로부터 증거 획득, 분석

-디스크 내용, 무결성 유지, 부인방지

삭제파일 복구, 암호 해독

Application

멀티미디어, DataBase

E-Mail : 전자우편 내용, 송신자 추적

Source Code : 원시코드 작성자 확인 실행코드와 원시 코드 상관관계 분석

Mobile

-PDA, 전자수첩, 휴대폰

-전원 차단시 내장기록 소멸

증거물 보존성 문제


포렌식과 기술(도구)

제품

주요기능

사용장비

홈페이지

EnCase

증거물 획득/분석/보고

Windows

www.encase.com

FTK

증거물 획득/분석/보고

Windows

www.accessdata.com

TCT

증거물 보고/분석

Linux

www.porcupine.org

dd

증거물 획득

Linux

www.redhat.com

WinHex

증거물 복제/분석

Windows

www.winhex.com

S&R

증거물 검색

Windows

www.funduc.com

FinalData

삭제 파일, DB복구

W, L, U

www.finaldata.com

Lc4

패스워드 크랙

Windows

www.atstake.com


포렌식과 기술(증거 획득 단계)

Feature

Produts

Image File

Internet

verification

Imaged to appropriate media

Imaging

SCSI/IDE

Drive

              URL

Encase

MD5, CRC

Hard Drive Tape CD-R

IDE, SCSI

RAID

www.encase.com

DIBS

DIVA

Optical Media

SCCSI, IDE

www.dibsusa.com

Safe BackV2.0

CRC

HardDrive, Tape, Removable media

IDE

www.forensicintl.com

SnapBack DATArrest

MD5, CRC

HDD, Tape, etc

SCSI

www.snapback.com

Linux DD V7.0

MD5, CRC

HDD, Tape,,etc

SCSI, IDE

www.redhat.com


포렌식과 기술(증거분석 기법)

 구분

 내용

 도구

 Advanced Search

 File Directory, search

 www.hurricanesoft.com

 Folder Browsing

 파일의 확장자, 해쉬값, 삭제파일 유무

 www.encase.com

 Hash Analysis

 시스템내의 파일이 변경되었는가를 확인 알려진 파일과 같은 파일의 존재여부 확인

 www.accessdata.com

 Signature

 ananysis

 확장자 이름을 변경한 파일을 파악

 www.encase.com

 Timeline

 analysis

 파일 생성/변경/접근/삭제 시간, CMOS

 www.encase.com

 Log analysis

 Web browser log, Mail log, FTP log System booting log


 Process analysis

 -실행중인 프로세스의 메모리 내 용 조사

-의심 실행 파일조사(debugger 등)

 www.winhex.com

,pcat,Debugger,vmware

 삭제된 파일 복구



 password

 cracking

 암호 파일에 대해 복호화 (Dictionary 대입, Brote force)

 www.atstake.com

 

2008/11/04 16:04 2008/11/04 16:04