2019년 1월 7일
디지털 포렌식 방해, 안티 포렌식
I. 디지털 포렌식 방해 기술, 안티 포렌식
| 개념 | 목적 |
|---|---|
| – 디지털 포렌식 통한 증거 수집 방해위해 데이터삭제, 암호화 및 은닉 등 데이터 조작 기술 | – 증거탐지 회피, 수집 방해 – 분석시간 지연, 도구 오류 – 로깅 우회, 흔적 삭제 – 보고서 변조, 법적 증언 |
II. 다양한 방식의 안티 포렌식 기술 유형
| 구분 | 기술 유형 | 설명 |
|---|---|---|
| 데이터 파괴 | Wiping | – 데이터 삭제 후 덮어쓰기 기법 |
| Degaussing | – 물리적 천공, 파쇄, 자기장 주입 | |
| sanitize | – 맵핑 테이블과 블록 완전 삭제 | |
| 데이터 은닉 | Steganography | – 미디어 파일에 메시지은닉/전달 |
| Slacker | – 슬랙 공간에 파일/데이터 숨김 | |
| RuneFS | – 배드 블록에 데이터 숨김 | |
| KY FS | – 디렉토리에 데이터 숨김 | |
| HPA&DCO | – HPA, DCO 영역에 데이터 숨김 | |
| 흔적 최소화 | Portable SW | – 시스템에 SW 설치 흔적 방지 |
| Bootable USB | – HDD 파일시스템에 기록 방지 | |
| VM(가상머신) | – 가상화 환경에서 실행, VM삭제 | |
| 분석 지연 | Obfuscation | – Layout, Data, Control 난독화 |
| Execute Compress | – Portable Execute기반 헤더 조작 | |
| Wrapping | – 난수기반 겹층 데이터 캡슐화 |
III. 안티 포렌식 기술에 따른 대응 기술
| 구분 | 대응 기술 | 기법 설명 |
|---|---|---|
| 데이터 파괴 대응 | 데이터 복구 | – CHKDSK, 배드섹터 복구 |
| 데이터 검색/탐지 | – Index, Bitwise 기법 | |
| 데이터 은닉 대응 | 암호 크래킹 | – 사회공학, 사전, 대입기법 |
| 은닉 데이터 탐지 | – POST 과정 분석, 탐지툴 | |
| 흔적 최소화대응 | 물리 메모리 분석 | – page, swap, hibernation |
| 시간/연관성 분석 | – 메타데이터, 로그 시간 | |
| 분석 지연 대응 | 동적 분석 기법 | – 입출력 데이터 분석 |
| 디버깅 도구 | – PE Tool, IOAF, IOC 접목 |
About The Author
도리
2 Comments
의뢰를 맡기고 싶습니다, 비용과 소요시간을 알고 싶어요
포렌식 업무는 하고 있지 않아 도와드리기가 어렵습니다. 포렌식 전문업체 검색 등을 통해 찾아보시는 것이 좋을 듯 합니다.