디지털 포렌식(Digital Forensics)

I. 디지털 증거 수집/분석 기술, 디지털 포렌식

가. 디지털 포렌식(Digital Forensics)의 개념

  • 디지털 증거물을 사법기관에 제출하기 위해 증거물을 수집, 분석, 보고서 작성 기법

나. 디지털 포렌식의 5원칙

원칙설명
무결성– 수집된 증거의 위/변조 방지
신속성– 휘발성 데이터의 특성 상 신속한 과정
정당성– 적법한 절차를 통해 수집된 증거 능력
재현– 같은 조건과 상황 하에서 같은 결과
절차 연속성– 수집, 이동, 제출 등 각 단계 담당자 명확

 

II. 디지털 포렌식 기술

가. 디지털 포렌식 기술 분류도

나. 디지털 포렌식 기술

구분증거 복구수집/보관증거 분석
저장
매체
HDD 복구
메모리 복구
HDD 복제
메모리 복제
HDD 사용흔적
메모리 덤프
시스템삭제 파일 복구
파일시스템복구
시스템로그복구
휘발성데이터
초기 대응
포렌식 라이브
레지스트리분석
시스템로그분석
백업데이터분석
데이터
처리
데이터 복호화
스테가노그래피
파일 조각 분석
데이터 추출
데이터 보존
공증/인증
데이터포맷분석
영상 정보 분석
DB 정보 분석
네트
워크
암호 통신 복구
패킷 캡쳐
NIC 버퍼 복구
망 정보 수집
네트워크역추적
허니팟
스위치로그분석
바이러스 분석
네트워크시각화

다. 디지털 포렌식 절차

#절차설명
사전 준비– 사전 교육, 공증인원, 증거 수집 준비물
– 봉인지(Seal), 정전기 차단 봉투, 박스
증거 수집– 현장 통제/보존, 영장제시, 증거인멸차단
– 사진촬영, 휘발성데이터/이동매체 수집
포장/이송– 정전기 차단, 증거물 포장, 봉투 봉인
– 무진동 차량, 인수/인계 확인서
조사 분석– 데이터 이미징, 복제, 추출 및 분류
– 데이터 조사 및 증거 검색
정밀 검토– 분석 결과 검증 과정에 대한 검토
– 공증인 서명, 봉인지 확인, 사진 백업
보고서 작성– 디지털 용어 설명, 분석 결과 정리
– 증거 분석 보고서/증거물 법원 제출

 

III. 디지털 포렌식의 유형

유형유형 설명기법/도구
디스크
포렌식
– 비휘발성 저장매체
– HDD, SSD, CD 등
– 유형 매체 수집
– 정전기 발생 방지
활성데이터
포렌식
– 휘발성 데이터분석
– RAM영역, 통신 패킷
– 신속한 수집/분석
– 전원 유지 필요
이메일
포렌식
– 이메일 데이터의
 송수신자, 시간분석
– 이메일 서버 접근
– Exchange, POP3
네트워크
포렌식
– 유무선 통신정보분석
– 패킷 형태 캡쳐
– 네트워크 스니핑
– wireshark, tcpdump
모바일
포렌식
– 이동형기기 증거분석
– 스마트폰, 태블릿PC
– 모바일OS 분석
– IMSI, S/N 확보

포렌식
– 웹브라우저 사용흔적
– 쿠키, 임시파일, 설정
– index.dat parser
– WEFA, IEF 분석기
멀티미디어
포렌식
– 음성/영상 등 분석
– 블랙박스, CCTV영상
– 인코더/디코더
– H.264, MPEG, HEVC
소스코드
포렌식
– 이진/소스 코드 분석
– 최초 작성자 구분
– 원시코드 대조
– 리버스 엔지니어링
DB
포렌식
스키마, 테이블 분석
– DB 내 데이터 분석
– ERD 추출, DB복구
– Toad, WorkBench
안티
포렌식
– 포렌식 차단 기법
– 데이터 파괴, 은닉
– 디가우징, 램슬랙
– 스테가노그래피

 

14 Comments

콘텐츠 사용 시 출처 표기 부탁 드리고, 궁금한 점이나 의견은 댓글 남겨주세요^^