Digital Forensics Process
디지털 포렌식 수사 절차
수사 준비
- 사건 발생 확인
- 장비 및 도구 확보
- 포렌식 도구 Test
- 협조체계 확립
증거물 획득
- 현장 분석
- 확보 및 수집
- Snap Shot
- Disk Imaging
- 증거물 인증
보관 및 이송
- Image 복사
- 증거물 포장 및 운반
분석 및 조사
- 자료 복구 및 검색
- TimeLine 분석
- Signature 분석
- 은닉자료 검색
- Hash/Log 분석
보고서 작성
- 증거분석 결과
- 증거 담당자 목록
- 전문가 소견
디지털 포렌식 조사 수행시 유의사항
적법 절차의 준수
- 피조사자 개인의 인권을 보장해야 하고, 피조사 기관의 영업 비밀 또는 주요 자료의 노출이 발생하지 않도록 적법 절차를 준수한다.
- 디지털 포렌식 조사의 대상이 되는 저장 매체는 개인의 사생활과 관련된 정보가 저장되어 있을 가능성이 높음.
- 열람할 수 있는 권한을 확보하지 않은 상태에서 조사할 경우 추후 문제 발생
증거 무결성
원본의 안전한 보존
디지털 데이터는 쉽게 훼손될 수 있기 때문에 데이터를 안전하게 보존할 수 있는 수단을 강구해야 한다.
특히 물리적 충격이나 전자기파에 의해 손상을 입지 않도록 주의
증거 분석은 워너본의 손상을 막기 위해 반드시 사본에서 수행
또한 생성한 사본이 원본과 동일하다는 것을 증명할 수 있는 절차적, 기술적 수단을 마련해야 한다.
증거의 무결성 확보
디지털 데이터는 완벽히 조작할 수 있기 때문에 데이터 확보 이후에는 어떠한 변경도 없었다는 것을 입증하기 위한 기술적, 절차적 수단을 확보해야 한다.
법정에서 무결성을 증명할 수 있는 방법을 준비
증거의 신뢰성 증명
- 증거 분석은 과학적 방법을 사용해야 하고, 해당 분야 전문가들에 의해 충분히 검토되어 신뢰할 수 있는 기술적 절차로 수행되어야 한다.
- 도출된 결과는 신뢰성을 검증할 수 있어야 한다.
분석 결과의 반복성
도출된 분석 결과는 동일한 실험 조건이 주어진다면, 오차 범위 내에서 항상 동일한 결과가 나올 수 있어야 한다.
진정성 유지를 위한 모든 과정의 기록
- 디지털 증거 수집 및 분석을 비롯한 모든 과정을 기록함으로써 사후 검증할 수 있는 수단을 제공.
- 디지털 증거의 진정성은 수집 이후부터 법정까지 진행된 증거 처리에 관한 내용을 기록한 문서를 통해 입증.
파일 복구
파일 시스템이 필요한 이유?
- 저장 매체의 용량이 증가함에 따라 저장되는 파일의 수도 급격히 증가
- 원하는 파일을 읽고 쓰는 기본적인 기능부터 데이터를 검색, 저장, 관리하기 위한 규약이 필요
파일시스템 이란?
디지털 데이터를 효과적으로 관리하기 위해 파일을 체계적으로 기록하는 방식
사용자에게 파일과 디렉터리를 계층 구조로 데이터를 저장하도록 하는 메커니즘
파일이 어디에 저장되어 있는지 조직화하고, 사용자의 데이터를 구조적으로 정의함
파일시스템 종류
파일시스템의 구조
파일시스템의 기본적인 동작은 운영체제가 각 파일을 사용하기 위해 저장되어 있는 위치로 접근하여 해당 데이터를 읽도록 한다.
또한 데이터의 위치를 파악하기 위하여 사용자가 저장된 파일의 목록을 확인할 수 있도록 지원한다.
파일시스템의 추상화 구조
| Meta Area | Data Area |
- 어떠한 파일시스템이라도 Meta Area와 Data Area로 나뉘어져 있다.
- 사용자가 생성한 파일의 내용은 데이터 영역에 기록.
- 메타 영역에는 파일 관리를 위한 파일의 이름, 위치, 크기, 시간 정보 등이 기록.
- 파일시스템은 이러한 메타 정보를 유지 관리함으로써 파일 시스템을 효과적으로 관리.
'Hacking & Security > Digital Forensic' 카테고리의 다른 글
| About Digital Forensics (0) | 2019.11.30 |
|---|---|
| Web Browser Forensics (0) | 2019.11.29 |