일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
- bootstrap
- wargame.kr
- Express
- MongoDB
- materialize
- 자바문제풀이
- 워게임
- 자료구조
- 웹해킹기초
- 웹개발
- 웹기초
- 그래프
- GIT
- NavBar
- 자바기초
- 포렌식
- 포렌식워게임
- 이진트리
- 자바
- mongoose
- nodeJS
- 워게임추천
- node.js
- 뷰
- 써니나타스
- node
- CTF
- gitbash
- 웹해킹
- 이진탐색트리
- Today
- Total
보안 전공생의 공부
포렌식을 위한 기초지식(1) 본문
출처
http://book.naver.com/bookdb/book_detail.nhn?bid=7007687
1장. 소개
◆ 디지털 포렌식
- 정의 : "정식 수색 기관, 연계보관성, 수학을 통한 검증, 검증된 툴의 사용, 반복가능성, 보고 그리고 가능하다면 전문가의 설명을 통해 디지털 증거와 관련하여 컴퓨터 공학과 수사절차를 법적인 목적에 적용하는 것" (ken zaryko)
- 범위 : 휴대기기, 네트워크, 클라우드시스템, 사진, 비디오 및 음성분석
- 사용
· 범죄수사
디지털 세계에서 전자적 증거는 거의 모든 범죄 수사 과정에서 찾아볼 수 있다.
ex) 데니스 레이더 사건(BTK 연쇄살인 사건) : 플로피 디스크의 rtf파일을 디지털 포렌식으로 분석하여 연쇄살인범인 데니스 레이더가 교회의 집회장이라는 정보를 수집하여 체포하였다.
· 민사소송
디지털 포렌식은 디지털 증거제시제로 알려진 프로세스의 일부로, 고비용 소송의 주요 구성요소가 되었다.
-디지털 증거제시제 : "민사 또는 형사소송에서 증거로 사용하기 위한 의도로 디지털 데이터를 조사, 위치 확인, 수집 및 검색하는 모든 프로세스를 의미" (Tech Target , 2005)
· 첩보
테러리스트들은 정보기술을 사용해 연락, 신병모집, 공격계획 등에 활용하고 있다.
ex) 무싸위 사건 : 9.11테러범들이 테러 공격 전에 비행교육을 받았는데, 이는 자카리아스 무싸위가 Hotmail을 통해 이러한 사전교육을 준비하였다.
· 관리적 사항
정책이나 절차를 위반하는 것은 전자적으로 저장되어 있는 특정 정보와 연관된 경우가 많다.
ex) 회사직원이 업무시간에 회사 컴퓨터로 부업을 한다.
◆ 로카드의 교환법칙
물리적 세계에서 범죄자가 범죄현장에 흔적을 남기고 나갈때 무엇인가(머리카락, 숨은 지문 등)를 가지고 간다는 것
→ 디지털 포렌식에도 적용 가능 ! ☞레지스트리 키or 로그 파일
2장. 핵심적인 기술 개념
◆ 수의 체계
- 바이너리 : 2진수 언어, 1과 0이라는 결과만 존재.
- 비트 : 1과 0
- 바이트 : 8개의 비트로 이루어짐
ex) 01101011
- 헥사데시멀, 헥스 (hexadecimal, hex) : 16진수, 바이너리를 더 편하게 표시할 수 있는 방법
0~9, A~F를 사용해 나타냄
숫자 앞에 0x이 붙거나 뒤에 h가 붙으면 해당 숫자는 16진수이다.
ex) a : 0x61 , 61h
스페이스 : 0x20
◆ 인코딩
바이너리 → 사람이 읽을 수 있는 문자로 변환
ⅰ) ASCII : 128개의 문자 정의
출처: 위키백과
ⅱ) 유니코드 : 전 세계의 모든 언어 표시하기 위해 사용되며 수천 개의 문자로 이루어짐
· 파일 카빙(file carving) : 특정한 형태 無인 데이터를 바탕으로 파일의 위치 확인, 복원하기 위해 사용하는 프로세스
파일 시스템의 도움 받지 않고 파일들의 시그니처, 논리구조, 형식 등에 의존해 복구함
cf) 데이터 복구(data recovery) : 저장 장치에 존재하는 파일 시스템이 손상X, 혹은 복구할 수 있을 정도의 손상이 있을 때 파일을 복구할 수 있음
◆ 파일 확장자 & 파일 시그니처
- 파일은 연속적인 비트, 바이트로 구성됨
· 파일을 식별하는 방법 :파일 확장자 활용
- 파일 확장자 : 파일명 뒤에 붙여 파일의 형식을 표시함
ex) .docx, .jpg 등
※ 하지만 확장자를 쉽게 수정가능하다. 확장자가 바뀐 파일은 열리지 않는다. 원상태로 바꾸어놓으면 파일이 열린다.
이런 방식으로 파일을 숨겨놓기도 하지만 포렌식에서는 의미 無
∵ 시그니처 분석 : 포렌식 툴은 파일 확장자 X, 파일의 헤더로 파일을 식별
(출처 : https://extr.tistory.com/70)
데이터 복구와 파일 카빙의 차이점
데이터 복구(Data Recovery)란, 저장 장치에 존재하는 파일 시스템이 손상되지 않았거나, 손상이 되었더라도 복구를 할 수 있을 정도여서 쉽게 파일을 복구할 수 있는 반면 파일 카빙(File Carving)은 파일 시..
extr.tistory.com
◆ 저장장치와 메모리
▶데이터 쓰는 방법 : 전자기(electromagnetism), 극미한 전자 트렌지스터(플래시), 빛의 반사(CD, DVD etc)
· 자기 디스크 : 대부분의 드라이브는 데이터를 자기로 읽고 씀
- 각 입자를 자기화(1) or 자기화하지 않음(0)
- 드라이브 자체 → 알루미늄 플래터 사용(자기 물질로 코딩되어 있음)
- 하드 드라이브의 플래터 : 빠른 속도로 회전 (7,000rpm~15,000rpm)
☞포렌식 관점) 플래터 속도 ↑ → 데이터 수집 속도 ↑
- 하드 드라이브 주요 구성요소
존재하지 않는 이미지입니다.
출처 : https://blog.naver.com/richardsky9/221056387920
- 플래터 → 스핀들(조그마한 침) 중심으로 회전
- 데이터 읽기·쓰기 : 엑추에이터 암(엑추에이터 자체에서 전원을 공급해줌) 에 부착된 읽기/쓰기 헤드(얇은 공기층으로 플레터와 분리되어 있음) 를 사용
· 플래시 메모리 (Solid State Drive, SSD로 불림)
- USB 드라이브, 메모리카드 : 휴대가능한 저장장치 역할
- 전기가 차단되어 있어도 데이터 삭제 X
- 구성 : 트렌지스터 → 각 트렌지스터는 전하(電荷)를 가지고 있거나(1) 가지고 있지 않음(0)
- 플래시 기반의 하드 드라이브 : 자기 드라이브와 달리 움직임 無
· 광 저장장치
- 데이터 읽기·쓰기 : 광 디스크에 있는 반사물질, 레이저사용
- 알루미늄으로 덮여있는 폴리카보네이트 물질로 만들어짐
- 제조과정에서 디스크 표면을 울퉁불퉁하게 만듬 → 하나의 길고 나선형의 트랙을 구성
존재하지 않는 이미지입니다.
출처 : http://www.madehow.com/Volume-1/Compact-Disc.html
레이저가 트랙이 빛을 보내면, 그 빛은 lands라고 불리는 공간에 따라 다른 형태로 반사됨 → 반사되는 빛의 변화를 데이터로 변환(brain)
출처 : http://study.zum.com/book/18068
· 휘발성 vs 비휘발성 메모리
메모리와 저장장치 모두 데이터를 저장하는 역할을 하는 내부 하드웨어임
→ 메모리는 단기간 데이터 저장, 저장장치는 영구적 데이터 저장에 사용
but 엄청난 차이점 존재 ☞ 데이터의 휘발성
RAM(Ramdom Access Memory)에 있는 데이터 : 전력 공급되는 동안만 존재 휘발성
vs
하드드라이브에 저장된 파일 : 전원 끊겨도 그대로 유지 비휘발성
- RAM : 현재 CPU에서 작업 중인 모든 데이터 저장, 데이터는 RAM→ CPU로 전송되어 실행됨
☞ 포렌식 관점) 일부 메신저 프로그램에서 로그 기능이 설정 X → 대화 내용이 하드 드라이브에 저장X , 유일한 증거는 컴퓨터가 실행중일 때 RAM에만 저장O
◆ 컴퓨터 환경
- 독립형 : 다른 컴퓨터에 연결 X, 일반 가정집에 있는 컴퓨터
- 네트워크 : 적어도 하나, 잠재적으로 많은 다른 컴퓨터에 연결 O, 복잡도 ↑, 비즈니스 환경에서 볼 수 있음
☞ 증거를 찾을 수 있는 위치가 多 → 포렌식 공식에 다양한 변수 생기게 함
- 메인프레임 : 모든 컴퓨터의 능력을 한 위치에 집중시킴
프로세서, 저장장치, 프로그램 모두 한 위치에서 집중되어 통제됨
출처 : https://judo0179.tistory.com/28
- 클라우드 : 컴퓨터 인프라, 플랫폼, 소프트웨어를 제공하며 사용한만큼 비용을 지불(사용한 것에 대해서만 비용을 지불)
아마존, 구글 같은 거대 IT 기업들도 클라우드 서비스를 제공하고 있음
→ 클라우드 서비스 : 인프라 서비스(IaaS), 플랫폼 서비스(PaaS), 소프트웨어 서비스(SaaS) 등을 포함, 인터넷을 통해 제공됨
◆ 데이터 종류
ⅰ) 활성 데이터
매일 컴퓨터에서 우리가 사용하는 데이터
윈도우 탐색기를 사용해 파일(드라이브에 할당된 공간에 있는 파일들)의 위치를 알아냄
ⅱ) 숨은 데이터
이미 삭제되었거나, 부분적으로 덮어써진 데이터
운영체제에서 더 이상 관리X → 일반 사용자에게 보이지 X
윈도우 탐색기를 사용해 파일을 찾을 수 X
☞ 비트 스트림 or 포렌식 이미지 필요
ⅲ) 아카이브 데이터(백업 데이터)
여러 형태로 존재 ex) 외장하드, DVD, 백업 테이프
레거시 데이터(legacy data) : 오래되거나 사용되지 않는 형식 또는 컴퓨터 시스템에 저장된 데이터
◆ 파일 시스템
파일을 관리하는 기능을 담당 (드라이브의 사용 가능한 공간 관리, 각 파일의 위치 관리 등)
· FAT(File Allocation Table)
3개의 파일 시스템 중 가장 오래됨
최신운영체제에서는 거의 사용 X, but 플래시 메모리 같은 매체에서 자주 사용됨
· NTFS(the New Technology File System)
윈도우7, 비스타, XP에서 사용되고 있는 파일 시스템
FAT보다 더 강력하고 다양한 기능 가짐
대용량 하드 드라이브 지원, 권한과 암호화로 향상된 보안 제공
· HFS+(Hierarchical File System)
애플제품에서 사용, HFS의 업그레이드된 버전
'공부 > forensic' 카테고리의 다른 글
인터넷과 이메일 (0) | 2021.01.19 |
---|---|
윈도우 시스템에서의 증거 수집 (0) | 2021.01.19 |
증거 수집 (0) | 2021.01.17 |
랩과 툴 (0) | 2021.01.16 |
포렌식을 위한 기초지식(2) (0) | 2021.01.15 |