일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
- NavBar
- 워게임
- CTF
- 뷰
- 이진트리
- 자바문제풀이
- node.js
- Express
- 써니나타스
- 포렌식
- 자료구조
- 웹기초
- materialize
- 그래프
- MongoDB
- bootstrap
- 포렌식워게임
- wargame.kr
- 워게임추천
- 웹해킹기초
- 웹해킹
- 웹개발
- 이진탐색트리
- gitbash
- mongoose
- GIT
- node
- 자바기초
- 자바
- nodeJS
- Today
- Total
보안 전공생의 공부
인터넷과 이메일 본문
◆ 인터넷 개요
· 브라우저 : 인터넷에 있는 정보를 보고 접속할 때 사용하는 프로그램
ex) Internet Explorer, Google, Firefox
· URL(Uniform Resource Locator) : 호스트 + 도메인 이름 + 파일이름으로 구성
· HTTP(Hypertext Transfer Protocol) : 인터넷에서 사용되는 프로토콜(다른 장비와 통신할 수 있도록 사전에 협의한 방법)
웹사이트를 보고 사용하는데 활용
· 도메인 이름 ex) google, naver 등
· 최상위 도메인 : 인터넷 도메인 네임 시스템을 구성하는 요소 중 최상단(top)에 위치함
ex) .com, .net, .org
브라우저는 HTTP 프로토콜을 사용해 www.google.com을 을 호스트하는 서버에 get요청을 전송함
URL 입력 후 브라우저는 도메인 이름을 IP(Internet Protocol) 주소로 변환함
(인터넷은 IP주소로 작동 O, 도메인 이름 - 사람들이 기억하기 쉽게 하기 위한 것)
· 도메인 네임 서버(Domain Name Server , DNS) : 특정 도메인 이름을 그에 해당하는 IP 주소로 변환함
· HTML(Hypertext Markup Language) 문서 : 브라우저에서 페이지가 표시되는 방법, 페이지의 내용 등의 정보 저장됨
웹페이지 구성 요소의 파일이름도 포함
프로그래밍 언어 X
· 정적(static) vs 동적(dynamic)
- 정적 웹 페이지 : 이미 만들어져 있는 페이지
페이지의 내용, 레이아웃 등이 모두 페이지를 읽어오기 전에 결정됨
- 동적 웹 페이지 : 요청됨과 동시에 만들어짐 (요청되기 전에는 존재 X)
데이터베이스에 저장되어 있는 여러 구성요소로 만들어짐
+ whois : 특정 도메인 이름과 관련 있는 개인, 업체 식별할 때 이용하는 검색 쿼리
해당 도메인 등록자, 도메인 생성 날짜, 관리자 연락처 등의 내용 확인 가능
but, 사생활 보호하도록 도메인 등록하면 whois검색해도 실제 등록자의 정보 표시 X
▶ P2P(Peer-to-Peer)
파일을 공유하는 데 주로 사용
클라이언트/서버 네트워크와 다른 점 : P2P 네트워크에서는 하나의 컴퓨터가 클라이언트/서버 네트워크 역할 가능
· 그누텔라(Gnutella) : P2P 네트워크 시스템이나 아키텍처에 사용되는 주요 기술 中 하나
- 울트라피어(ultrapeer) : 필요한 대역폭과 가동 기간(네트워크에 있는 시간) 있으면 사용하는 노드
- 리프(leaf) : 이외
· 사용순서
1) KaZaA, Frostwire, GigaTribe, cMule 등 P2P 클라이언트 프로그램 다운로드, 설치
2) 공유폴더 생성
3) 검색 후 원하는 파일이 저장된 컴퓨터의 목록 확인
4) 사용자가 파일을 다운로드하면 지정된 디렉터리나 기본설정 폴더에 파일 다운로드 됨 (HTTP를 사용해 파일 전송)
▶ INDEX.DAT 파일
바이너리 파일. 인터넷 익스플로러(IE)가 사용됨
한 시스템 → 여러 개의 INDEX.DAT 파일 존재
방문한 URL, 방문횟수 등(툴을 사용해야 볼 수 있음)의 정보 기록·유지
◆ 웹 브라우저 - 인터넷 익스플로러
▶ 쿠키
웹 서버가 사용자의 컴퓨터에 저장해놓은 작은 텍스트 파일
· 용도
- 세션을 관리하는 데 사용
- 특정 웹 사이트에서 사용자의 선호사항 기억하는 데 사용
ex) Amazon.com - 방문시 기존의 구매, 검색 기록 바탕으로 상품 추천
INDEX.DAT파일에서 관리
쿠키의 내용을 해독하는 것 어려움 ( ∵ 평문으로 저장 X) → 쿠키 값 해독하는 툴 이용
▶ 임시 인터넷 파일(웹 캐시)
디운로드 시간을 단축시켜 줌
사진 파일 같은 웹 페이지 구성요소를 재사용해 동일한 파일을 여러 번 다운로드해야 하는 시간 제거 → 속도↑
INDEX.DAT 파일을 사용해 관리됨
'마지막으로 확인한 날짜' 정보 이용 서버에 페이지 최신 버전이 있는지 확인, 있으면 브라우저는 최신버전 다운로드
윈도우 탐색기를 통해 확인 가능. 임시 인터넷 폴더 내 내용( 썸네일 & 웹페이지 정보의 조각들로 구성)을 목록화하여 보여줌
ex) Hotmail Inbot - HoTMail[#].htm
Yahoo! - ShowFolder.htm
Hotmai 메시지 - getmsg[#].htm
Yahoo! 메시지 - ShowLetter[#].htm
▶ 인터넷 기록
Internet Explorer - 사용자의 기록 유지 → 사용자가 매번 브라우저의 주소 창에 URL을 재입력 X
INDEX.DAT 파일 - 특정 사이트를 몇 번 방문했는지, 파일의 이름이 무엇인지 등을 유지관리함
인터넷 기록 : 여러 개의 폴더 + INDEX.DAT 파일들로 구성
- 폴더 : 사전에 정해진 이름 짓는 방법 사용
그 뒤에 날짜의 범위 적음
ex) MSHist01 / 2011 / 1011 / 2011 /1008
→ 폴더이름 / 시작연도 / 시작날짜 / 마지막연도 / 마지막 날짜
기본 설정으로 인터넷 기록은 20일마다 삭제되도록 되어있음
NTUSERS\Software Microsoft\ Windows\Current Version \Internet Settings\ URLHistory
이 값이 기본설정인 20일보다 적게 설정되어있으면 잠재적인 증거를 제거하기 위해 조치를 취했다는 것
▶ 레지스트리에 있는 인터넷 익스플로러의 흔적
· NTUSER.DAT 파일 : 설정, 각 사용자 프로파일을 위한 정보 저장
브라우저의 기록 - 이러한 정보의 일부
시스템에 있는 프로파일 당 하나의 NTUSER.DAT 파일 존재
IE는 매일 레지스트리에 많은 흔적을 남김 → 특히 NTUSER.DAT에 저장됨
ex) 주소창에 입력한 URL, 비밀번호 저장하고 있는지, 디폴트 검색 사이트가 무엇인지 등
- 레지스트리 값에 대한 파일 경로 : NTUSER\Software\Microsoft\Internet Explorer\Typed URLs
※ 사람이 레지스트리를 직접 읽을 수 없음 ! 툴 필요(RegEdit, RegRipper, Registry Viewer)
▶ 메신저 프로그램
텍스트 기반의 실시간 통신을 하는 데 사용됨
ex) Trillian, AOL 인스턴트 메신저, 야후 메신저 등
각 프로그램마다 메신저 프로그램의 기능이 다르고, 다른 흔적을 남김
☞ 설치여부, 대화명·스크린 네임 목록
범죄에 악용할 수 있는 방법이 많음 !
▶ IRC(Internet Relay Char)
상업용 메신저 프로그램 이외에 조사해야하는 메신저 프로그램
대규모 채팅 네트워크로서 특정 업체나 단체가 통제 X
정식적인 등록 과정이 없어 사용자가 거의 완전한 익명성 보장 받음
무료
네트워크 - Undernet, IRCnet, EFnet 등 여러개의 소규모 네트워크로 구성됨
· 클라이언트에 직접 연결(Direct Client Connection, DCC) 기능 - 두 사용자가 하나의 컴퓨터에서 상대방의 컴퓨터로 직접 연결 가능하게 해줌 . 네트워크 서버 통과 X
→ 사생활 보장, 증거 안남김
범죄에 이용 多
▶ ICQ"I Seek You"
1996년에 개발된 메신저 프로그램
인기 多 ( 4천 2백만 이상의 사용자, 4억 2천 5백만 건 이상의 다운로드, 매일 11억 건 이상의 문자 송수신 등)
IRC와 다르게 ICQ에는 등록과정 존재, 등록된 사용자에게 사용자 식별번호 or UIN(user identification number) 부여
높은 수준의 프라이버시 유지 → 대화 위해서 초청받아야 함
중앙서버를 통ㅎ ㅐ트래픽을 라우팅 함 → 서버를 찾을 수 있으면 일부 흔적이 서버에 남아있을 수 있음
◆ 이메일
모든 잠재적 디지털 증거 中 가장 훌륭한 증거
영속성이 강해 여러 곳에 저장되어 있기 때문에 삭제가 힘듬
▶ 이메일 접속
1) 인터넷으로 접속하는 방법 : 웹 브라우저 사용
ex) 구글의 gmail, 마이크로소프트의 hotmail 등
2) 이메일 클라이언트 프로그램 사용하는 방법 - 이메일 작업을 위해 설계된 이메일 전용 프로그램
ex) MS의 outlook, window live mail 등
- outlook : 데이터를 .pst나 .ost 파일로 저장
- window live mail, outlook express : .dbx 사용
▶ 이메일 프로토콜
이메일은 다양한 프로토콜 사용해 송수신
· 단순 우편전송 규약(Simple Mail Transfer Protocol, SMTP) : 이메일 클라이언트가 이메일을 보내거나 서버가 이메일을 송수신할 때 사용
· 우체국 프로토콜(Post Office Protocol, POP) : 이메일 클라이언트가 이메일을 받을 때 사용
· 아이맵(Internet Message Access Protocol, IMAP) : 양방향 통신 프로토콜로 클라이언트가 서버에 있는 이메일에 접근할 때 사용
▶ 증거로서의 이메일
이메일에서 수집할 수 있는 증거 : 사건 관련 내용의 이메일, 이메일 주소, IP주소, 날짜와 시간
여러 곳에서 이메일 데이터 발견 가능 ! ( 용의자 컴퓨터, 수신자 컴퓨터, 회사 서버, 스마트폰 등 )
웹 기반 증거와 마찬가지로 시간이 매우 중요
· 이메일 주요 구성요소 : 헤더, 바디, 첨부파일 등
- 헤더 : 송신자가 수신자로 이메일 보낼 때 거쳤던 경로 정보 기록 ( like 여권 )
서버 하나를 거칠 떄마다 헤더에 정보 추가
헤더 정보는 아래에서 위로 읽어야 함
- 바디 : 메시지 자체
- 첨부파일 : 사진, 문서, 스프레드시트 파일 등 사용자가 생성한 파일 등 포함
▶ 이메일 - 흔적 지우기
· 스푸핑(spoof) : 이메일이 실제로 다른 사람 or 다른 위치에서 보내진 것처럼 보여지게 위조하는 것
· 공용 이메일 계정 : 사용자가 익명의 계정 생성·로그인 정보를 다른사람과 공유 → 임시 보관함 폴더 이용해 서로 대화 가능
▶ 이메일 추적하기
로그에 크게 의존
· 메시지 헤더에 있는 메시지 ID 정보 : 이메이 서버가 할당하는 고유번호
메시지 ID와 서버의 로그의 상관관계 확인 → 특정 컴퓨터에서 메시지 송수신한 것을 증명 가능
◆ 소셜 네트워크 사이트
거의 모든 사람들이 페이스북, 트위터 등의 소셜 네트워크 매체 사용함
※ 업체들이 정보를 특정기간만 보존 ! 시간이 지나면 필요로 하는 데이터가 삭제될 것
서비스 제공 업체로부터 증거 수집을 하기 위해서는 빨리 소환장, 수색영장을 받아 데이터를 수집해야 함
'공부 > forensic' 카테고리의 다른 글
윈도우 포렌식 도구 사용법 | NTFS Log Tracker (0) | 2021.01.21 |
---|---|
윈도우 포렌식 도구 사용법 | FTK Imager (0) | 2021.01.21 |
윈도우 시스템에서의 증거 수집 (0) | 2021.01.19 |
증거 수집 (0) | 2021.01.17 |
랩과 툴 (0) | 2021.01.16 |