포렌식을 위한 기초지식(1)

출처

http://book.naver.com/bookdb/book_detail.nhn?bid=7007687

 

1장. 소개

◆ 디지털 포렌식

- 정의 : "정식 수색 기관, 연계보관성, 수학을 통한 검증, 검증된 툴의 사용, 반복가능성, 보고 그리고 가능하다면 전문가의 설명을 통해 디지털 증거와 관련하여 컴퓨터 공학과 수사절차를 법적인 목적에 적용하는 것" (ken zaryko)

- 범위 : 휴대기기, 네트워크, 클라우드시스템, 사진, 비디오 및 음성분석

- 사용

· 범죄수사

디지털 세계에서 전자적 증거는 거의 모든 범죄 수사 과정에서 찾아볼 수 있다.

ex) 데니스 레이더 사건(BTK 연쇄살인 사건) : 플로피 디스크의 rtf파일을 디지털 포렌식으로 분석하여 연쇄살인범인 데니스 레이더가 교회의 집회장이라는 정보를 수집하여 체포하였다.

​

· 민사소송

디지털 포렌식은 디지털 증거제시제로 알려진 프로세스의 일부로, 고비용 소송의 주요 구성요소가 되었다.

-디지털 증거제시제 : "민사 또는 형사소송에서 증거로 사용하기 위한 의도로 디지털 데이터를 조사, 위치 확인, 수집 및 검색하는 모든 프로세스를 의미" (Tech Target , 2005)

​

· 첩보

테러리스트들은 정보기술을 사용해 연락, 신병모집, 공격계획 등에 활용하고 있다.

ex) 무싸위 사건 : 9.11테러범들이 테러 공격 전에 비행교육을 받았는데, 이는 자카리아스 무싸위가 Hotmail을 통해 이러한 사전교육을 준비하였다.

​

· 관리적 사항

정책이나 절차를 위반하는 것은 전자적으로 저장되어 있는 특정 정보와 연관된 경우가 많다.

ex) 회사직원이 업무시간에 회사 컴퓨터로 부업을 한다.

​

◆ 로카드의 교환법칙

물리적 세계에서 범죄자가 범죄현장에 흔적을 남기고 나갈때 무엇인가(머리카락, 숨은 지문 등)를 가지고 간다는 것

→ 디지털 포렌식에도 적용 가능 ! ☞레지스트리 키or 로그 파일

​

​

2장. 핵심적인 기술 개념

◆ 수의 체계

- 바이너리 : 2진수 언어, 1과 0이라는 결과만 존재.

- 비트 : 1과 0

- 바이트 : 8개의 비트로 이루어짐

ex) 01101011

- 헥사데시멀, 헥스 (hexadecimal, hex) : 16진수, 바이너리를 더 편하게 표시할 수 있는 방법

0~9, A~F를 사용해 나타냄

숫자 앞에 0x이 붙거나 뒤에 h가 붙으면 해당 숫자는 16진수이다.

ex) a : 0x61 , 61h

스페이스 : 0x20

​

◆ 인코딩

바이너리 → 사람이 읽을 수 있는 문자로 변환

ⅰ) ASCII : 128개의 문자 정의

출처: 위키백과

ⅱ) 유니코드 : 전 세계의 모든 언어 표시하기 위해 사용되며 수천 개의 문자로 이루어짐

​

· 파일 카빙(file carving) : 특정한 형태 無인 데이터를 바탕으로 파일의 위치 확인, 복원하기 위해 사용하는 프로세스

파일 시스템의 도움 받지 않고 파일들의 시그니처, 논리구조, 형식 등에 의존해 복구함

cf) 데이터 복구(data recovery) : 저장 장치에 존재하는 파일 시스템이 손상X, 혹은 복구할 수 있을 정도의 손상이 있을 때 파일을 복구할 수 있음

​

◆ 파일 확장자 & 파일 시그니처

- 파일은 연속적인 비트, 바이트로 구성됨

· 파일을 식별하는 방법 :파일 확장자 활용

- 파일 확장자 : 파일명 뒤에 붙여 파일의 형식을 표시함

ex) .docx, .jpg 등

※ 하지만 확장자를 쉽게 수정가능하다. 확장자가 바뀐 파일은 열리지 않는다. 원상태로 바꾸어놓으면 파일이 열린다.

이런 방식으로 파일을 숨겨놓기도 하지만 포렌식에서는 의미 無

∵ 시그니처 분석 : 포렌식 툴은 파일 확장자 X, 파일의 헤더로 파일을 식별

(출처 : https://extr.tistory.com/70)

 

데이터 복구와 파일 카빙의 차이점

데이터 복구(Data Recovery)란,  저장 장치에 존재하는 파일 시스템이 손상되지 않았거나, 손상이 되었더라도 복구를 할 수 있을 정도여서 쉽게 파일을 복구할 수 있는 반면 파일 카빙(File Carving)은 파일 시..

extr.tistory.com

◆ 저장장치와 메모리

▶데이터 쓰는 방법 : 전자기(electromagnetism), 극미한 전자 트렌지스터(플래시), 빛의 반사(CD, DVD etc)

​

· 자기 디스크 : 대부분의 드라이브는 데이터를 자기로 읽고 씀

- 각 입자를 자기화(1) or 자기화하지 않음(0)

- 드라이브 자체 → 알루미늄 플래터 사용(자기 물질로 코딩되어 있음)

- 하드 드라이브의 플래터 : 빠른 속도로 회전 (7,000rpm~15,000rpm)

☞포렌식 관점) 플래터 속도 ↑ → 데이터 수집 속도 ↑

- 하드 드라이브 주요 구성요소

존재하지 않는 이미지입니다.

출처 : https://blog.naver.com/richardsky9/221056387920

- 플래터 → 스핀들(조그마한 침) 중심으로 회전

- 데이터 읽기·쓰기 : 엑추에이터 암(엑추에이터 자체에서 전원을 공급해줌) 에 부착된 읽기/쓰기 헤드(얇은 공기층으로 플레터와 분리되어 있음) 를 사용

​

· 플래시 메모리 (Solid State Drive, SSD로 불림)

- USB 드라이브, 메모리카드 : 휴대가능한 저장장치 역할

- 전기가 차단되어 있어도 데이터 삭제 X

- 구성 : 트렌지스터 → 각 트렌지스터는 전하(電荷)를 가지고 있거나(1) 가지고 있지 않음(0)

- 플래시 기반의 하드 드라이브 : 자기 드라이브와 달리 움직임 無

​

· 광 저장장치

- 데이터 읽기·쓰기 : 광 디스크에 있는 반사물질, 레이저사용

- 알루미늄으로 덮여있는 폴리카보네이트 물질로 만들어짐

- 제조과정에서 디스크 표면을 울퉁불퉁하게 만듬 → 하나의 길고 나선형의 트랙을 구성

존재하지 않는 이미지입니다.

출처 : http://www.madehow.com/Volume-1/Compact-Disc.html

레이저가 트랙이 빛을 보내면, 그 빛은 lands라고 불리는 공간에 따라 다른 형태로 반사됨 → 반사되는 빛의 변화를 데이터로 변환(brain)

출처 : http://study.zum.com/book/18068

​

· 휘발성 vs 비휘발성 메모리

메모리와 저장장치 모두 데이터를 저장하는 역할을 하는 내부 하드웨어임

→ 메모리는 단기간 데이터 저장, 저장장치는 영구적 데이터 저장에 사용

but 엄청난 차이점 존재 ☞ 데이터의 휘발성

​

RAM(Ramdom Access Memory)에 있는 데이터 : 전력 공급되는 동안만 존재 휘발성

vs

하드드라이브에 저장된 파일 : 전원 끊겨도 그대로 유지 비휘발성

​

- RAM : 현재 CPU에서 작업 중인 모든 데이터 저장, 데이터는 RAM→ CPU로 전송되어 실행됨

☞ 포렌식 관점) 일부 메신저 프로그램에서 로그 기능이 설정 X → 대화 내용이 하드 드라이브에 저장X , 유일한 증거는 컴퓨터가 실행중일 때 RAM에만 저장O

​

​

◆ 컴퓨터 환경

- 독립형 : 다른 컴퓨터에 연결 X, 일반 가정집에 있는 컴퓨터

- 네트워크 : 적어도 하나, 잠재적으로 많은 다른 컴퓨터에 연결 O, 복잡도 ↑, 비즈니스 환경에서 볼 수 있음

☞ 증거를 찾을 수 있는 위치가 多 → 포렌식 공식에 다양한 변수 생기게 함

- 메인프레임 : 모든 컴퓨터의 능력을 한 위치에 집중시킴

프로세서, 저장장치, 프로그램 모두 한 위치에서 집중되어 통제됨

출처 : https://judo0179.tistory.com/28

- 클라우드 : 컴퓨터 인프라, 플랫폼, 소프트웨어를 제공하며 사용한만큼 비용을 지불(사용한 것에 대해서만 비용을 지불)

아마존, 구글 같은 거대 IT 기업들도 클라우드 서비스를 제공하고 있음

→ 클라우드 서비스 : 인프라 서비스(IaaS), 플랫폼 서비스(PaaS), 소프트웨어 서비스(SaaS) 등을 포함, 인터넷을 통해 제공됨

​

◆ 데이터 종류

ⅰ) 활성 데이터

매일 컴퓨터에서 우리가 사용하는 데이터

윈도우 탐색기를 사용해 파일(드라이브에 할당된 공간에 있는 파일들)의 위치를 알아냄

​

ⅱ) 숨은 데이터

이미 삭제되었거나, 부분적으로 덮어써진 데이터

운영체제에서 더 이상 관리X → 일반 사용자에게 보이지 X

윈도우 탐색기를 사용해 파일을 찾을 수 X

☞ 비트 스트림 or 포렌식 이미지 필요

​

ⅲ) 아카이브 데이터(백업 데이터)

여러 형태로 존재 ex) 외장하드, DVD, 백업 테이프

레거시 데이터(legacy data) : 오래되거나 사용되지 않는 형식 또는 컴퓨터 시스템에 저장된 데이터

​

◆ 파일 시스템

파일을 관리하는 기능을 담당 (드라이브의 사용 가능한 공간 관리, 각 파일의 위치 관리 등)

​

· FAT(File Allocation Table)

3개의 파일 시스템 중 가장 오래됨

최신운영체제에서는 거의 사용 X, but 플래시 메모리 같은 매체에서 자주 사용됨

​

· NTFS(the New Technology File System)

윈도우7, 비스타, XP에서 사용되고 있는 파일 시스템

FAT보다 더 강력하고 다양한 기능 가짐

대용량 하드 드라이브 지원, 권한과 암호화로 향상된 보안 제공

​

· HFS+(Hierarchical File System)

애플제품에서 사용, HFS의 업그레이드된 버전

​

​