포렌식의 정의
과학 수사
● 사안의 진상을 정확하게 밝히기 위해 현대적 시설, 장비 기자재와 과학적 지식, 기수을 활용하는 수사
● 검찰, 경찰, 국정원, 기무사, 헌병대 등 수사기관의 활동
수사 과학
● 수사영역에 필요한 지식을 객관적인 뱅법으로 계통적으로 연구하는 활동
● 전문가, 감정가, 감식가 등 민간 분야 활동
포렌식과 과학수사, 수사과학
● 고도 정보화 사회에서 과학수사, 수사과 분야에서 네트워크, 시스템 등 정보처리 분야 기술들이 요
구
미국 Digital Forensic Research Workshop
● 범죄를 재현하거나 파괴적이고 비관적 행동들에 대한 예측을 손쉽게 하기 위해 디지털 증거물에
대한 보존, 수집, 확인, 식별, 분석, 해석, 문서화, 표현을 과학적으로 도출하고 증명된 방법을 사용
하여 수행하는 것
컴퓨터범죄 수사에 입각한 정의
● 컴퓨터 관련 수사를 지원하며 디지털 자료가 법적 효력을 갖도록 하는 과학적/논리적 절차와 방법
을 연구하는 학문
Computer Forensic의 정의
정의 : 컴퓨터를 매개로 이루어지는 행위에 대한 법적 증거 자료 확보를 위하여 컴퓨터 저장 매체등의
컴퓨터 시스템과 네트워크로 부터 자료(정보)를 수집, 분석 및 보존하여 법적 증거물로 제출 할
수 있도록 하는 일련의 행위
컴퓨터 포렌식의 결과물은 법적으로 인정되야 하므로, 컴퓨터를 포함한 기술적 문제를 포함하
고 있는 범죄의 전자증거물은 법적 요구사항을 반드시 수반해야 한다.
Computer Forensic 적용 범위
컴퓨터 범죄수사
스파이, 기술 유출, 공갈, 사기, 위조, 해킹, 사이버 테러
민사소송
명예훼손, 업무상 과실/재해, 내부 감사
침해사고 예방, 대응
방대한 표준 자료 구성, 증거 분석 결과를 기반으로 한 사고 대응 방안(추적, 증거확보)공유
컴퓨터 포렌식의 기본 원칙
컴퓨터 포렌식의 기본 5대 원칙
정당성의 원칙
● 입수 증거가 적법절차를 거쳐 얻어져야함
● 위법수집증거 배제법칙, 독수의 과실이론
재현의 원칙
● 피해직전과 같은 조건에서 현장 검증을 실시 하였다면, 피해 당시와 동일한 결과가 나와야함
신속성의 원칙
● 시스템의 휘발성 정보 수집 여부는 신속한 조칠에 의해 결정되므로 모든 과정은 지체 없이 신
속하게 진행되어야 함
연계 보관성의 원칙
● 증거물 획득 - 이송 - 분석 - 보관 - 법정 제출의 각 단계에서 담당자 및 책임자를 명확히 해야
함
무결성의 원칙
● 수집 증거가 위/변조 되지 않았음을 증명할 수 있어야 함
포렌식 절차
1단계 |
2단계 |
3단계 |
4단계 |
5단계 |
Preparation
수사 준비 |
Acquisition
증거 획득 |
Preservation
보관/이송 |
Exam/Analysis
검증/분석 |
Reporting
조사/보고서 |
-압수수색영장
-관리자 승인
-진술서 양식
-현장 채증장비
-자문가 연락처
-증거분석 툴 |
-획득 과정 기록
현장상황
시스템 구성
-메모리 덤프
-디스크복사.해싱
-네트워크/서버
로그,히스토리,
디렉토리
-관리자 진술/서명 |
-전자파 차폐용기
-반출/입 통제
-디스크 또는 파
일 해시값 관리
-적절한 온도, 습
도 유지
-먼지 없는 곳
-쓰기 금지
-라벨링
-회피물체(자성체)
X-Ray |
-분석과정 명확
-기록 유지
-결과도출 논리적
-재현 가능
-증거물 훼손 및
내용 변경 금지
-백업본 사용, 분석
-다양한 기법 사용 |
-쉽고 평이하게
-과정을 명확하
게기록
-삭제 파일
-발견장소 경로등 |
포렌식과 기술(정보의 휘발성)
↑
UP
휘발성
DOWN
↓
|
Category |
DATA Type |
LIFE Time |
Cpu Storage |
Register |
보통 1-수 Cycle
|
Cache |
System Storage |
RAM |
System Shutdown 시
|
Kernel
|
NetWork 정보 |
Process 정보 |
Hard Disk
|
SWAP Space |
OverWrite 되거나 삭제되면 사라지는 것으로 간주(OverWrite 되거나 삭제된 데이터는 차후 복구 가능)
|
Spool Directory |
TEMP Directory |
Log Directory, ETC |
이동식 저장매체 |
Floppy Disk, Tapes,
CD-Rom
Flash Memory |
|
Hard Copied Data |
매체가 파괴될때 까지
존재 |
포렌식 기술(종류)
구분 |
영역 |
비고 |
NETWORK/
SYSTEM |
-Router : Protocol 해독, 라우터 체크
-Server : 접속기록, 흔적(.history) |
불법취득, 증거력 없음 |
-Web : 방문자 기록, Copy Right 문제 |
Disk Forensic |
-비 휘발성 장치로부터 증거 획득, 분석
-디스크 내용, 무결성 유지, 부인방지 |
삭제파일 복구, 암호 해독 |
Application |
멀티미디어, DataBase |
E-Mail : 전자우편 내용, 송신자 추적 |
Source Code : 원시코드 작성자 확인 실행코드와 원시 코드 상관관계 분석 |
Mobile |
-PDA, 전자수첩, 휴대폰
-전원 차단시 내장기록 소멸 |
증거물 보존성 문제 |
포렌식과 기술(도구)
포렌식과 기술(증거 획득 단계)
Feature
Produts |
Image File
Internet
verification |
Imaged to appropriate media |
Imaging
SCSI/IDE
Drive |
URL |
Encase |
MD5, CRC |
Hard Drive Tape CD-R |
IDE, SCSI
RAID |
www.encase.com |
DIBS |
DIVA |
Optical Media |
SCCSI, IDE |
www.dibsusa.com |
Safe BackV2.0 |
CRC |
HardDrive, Tape, Removable media |
IDE |
www.forensicintl.com |
SnapBack DATArrest |
MD5, CRC |
HDD, Tape, etc |
SCSI |
www.snapback.com |
Linux DD V7.0 |
MD5, CRC |
HDD, Tape,,etc |
SCSI, IDE |
www.redhat.com |
포렌식과 기술(증거분석 기법)
구분 |
내용 |
도구 |
Advanced Search |
File Directory, search |
www.hurricanesoft.com |
Folder Browsing |
파일의 확장자, 해쉬값, 삭제파일 유무 |
www.encase.com |
Hash Analysis |
시스템내의 파일이 변경되었는가를 확인 알려진 파일과 같은 파일의 존재여부 확인 |
www.accessdata.com |
Signature
ananysis |
확장자 이름을 변경한 파일을 파악 |
www.encase.com |
Timeline
analysis |
파일 생성/변경/접근/삭제 시간, CMOS |
www.encase.com |
Log analysis |
Web browser log, Mail log, FTP log System booting log |
|
Process analysis |
-실행중인 프로세스의 메모리 내 용 조사
-의심 실행 파일조사(debugger 등) |
www.winhex.com
,pcat,Debugger,vmware |
삭제된 파일 복구 |
|
|
password
cracking |
암호 파일에 대해 복호화 (Dictionary 대입, Brote force) |
www.atstake.com |