섹션 1
디지털 포렌식이란?
디지털 포렌식은 컴퓨터 범죄와 관련하여 디지털 장치에서 발견되는 자료를 복구하고 조사하는 법과학의 한 분야이다.
=> 디지털 장치(컴퓨터 장치가 들어가는)들을 대상으로 과학수사를 하는데, 증명된 과학적 기반이 있는 기법들을 이용해서 컴퓨터와 관련된 디바이스에서 정보를 수집한다. 그리고 그것을 범죄수사 등에 이용한다.
*법과학=포렌식=과학수사
디지털 포렌식의 필요성
컴퓨터 관련 범죄뿐만 아니라, 일반 범죄에서도 디지털 포렌식으로 획득할 수 있는 증거가 주요 단서가 되는 경우가 많아졌다.
또한, 범죄수사 이외의 분야에서도 활용도가 높아졌다.
-형사사건이 아닌 민사사건에서의 포렌식
-일반기업에서의 수요가 급증(내부 정보 유출, 회계 감사 등)
디지털 포렌식의 유형
| 침해사고 대응 | 증거추출 |
| 실시간 | 사후조사 |
| 사태파악 및 수습 | 범죄증거 수집 |
| 엄격한 입증 필요X | 엄격한 입증 필요O |
디지털 포렌식의 대상
-디스크 포렌식 => 컴퓨터 디스크(윈도우, 리눅스, MacOS / 개인, 서버, 클라우드)
-메모리 포렌식 => 컴퓨터 메모리(RAM)
-네트워크 포렌식 => 네트워크 패킷, 네트워크 장비 로그, 네트워크 관련 설정들
-모바일 포렌식 => 모바일 디바이스(저장소, 메모리) / IoT디바이스
-기타 => 데이터베이스 포렌식, 암호 포렌식, 회계 포렌식, 소스코드 포렌식 등
섹션 2
디지털 포렌식 수사관
수사대상 : 컴퓨터 => 디스크 - 프로그램 설치 시 보관해두는 공간 / 메모리 - 실행하기 위해 필요한 공간
-디스크 이미징 : 디스크를 파일의 형태로 만드는 것
-디스크 마운트 : 이미징된 파일을 내 컴퓨터에 등록시키는 것
-메모리 덤프 : 메모리의 특정 시점을 파일로 저장하는 것(특정 시점의 상태)
실습 전 도구 설치 및 설명
hxd : 파일의 헥스값을 볼 때 사용
everything : 컴퓨터 전체에 대해 인덱스를 만들어 놓는 도구, 파일의 위치를 찾을 때 사용
https://www.voidtools.com/ko-kr/downloads/
7-zip : zip 파일들의 압축을 해제해주는 도구, 특이한 압축 파일이 있을 때 사용
notepad++ : 파일을 한 번에 살펴볼 수 있는 도구, 전체 파일 검색 가능
https://notepad-plus-plus.org/downloads/v8.6.7/
sysinternal suite : 도구들의 모임, strings / procexcp / procmon을 자주 사용
https://learn.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite
ftk : 디스크 이미지를 관리하는 도구
https://drive.google.com/file/d/1Z7uWXZQlqKuwjWpS5dhZBT6CT-EJtCOT/view?usp=sharing
autopsy : 디스크 이미지를 관리하는 도구, 추가적인 기능이 있다.
실습
준비물
-C 드라이브 이외에 D, E 드라이브 등 추가 드라이브가 존재
-추가 드라이브가 없다면, USB가 1개 존재
1) 디스크 이미징
FTK Imager를 실행한다.
Create Disk Image - Physical Drive - C 드라이브 이외의 드라이브 선택(D, E드라이브 or USB) - Finish
Add - E01 - Case name... 등의 입력받는 곳에 아무것도 설정하지 않고 다음 -
Image Destination Folder 원하는 곳에 설정 - Image Fragment Size는 0으로 설정 - Finish
Start 버튼을 누른다.
=> 디스크 이미징 : 드라이브를 하나의 파일로 만드는 작업
2) 디스크 마운트
Image Mounting - Image File은 이전 단계에서 생성한 E01 이미지 파일을 선택 - Mount - Close
Add Evidence Item - Physical Drive - 디스크 이미징에서 만든 새로운 드라이브 선택 - Finish
Image Mounting - 수업 자료로 받은 이미지를 선택 - Mount - Close
Add Evidence Item - Physical Drive - 새로 만들어진 31GB 드라이브를 선택 - Finish
=> 디스크 마운팅 : 디스크 이미징의 반대, 하나의 파일을 드라이브로 인식하게 하는 작업
3) 메모리 덤프
Capture Memory - Destination path는 마음대로 설정 - Capture Memory - Close
=> 메모리 덤프 : 컴퓨터 메모리를 캡처하는 시점에 사진 찍듯 파일로 가져오는 것
삭제된 파일 복구
Add Evidence Item - Image File - 수업 자료로 받은 이미지를 선택 - Finish
root 파일 - X표시된 파일들 = 삭제된 파일들 - 해당 파일들에 오른쪽 버튼 누르고 Export Files 선택 - 파일 위치는 마음대로 설정
설정한 위치에 가서 보면 복구된 파일을 확인할 수 있다.
(여기서부터 오류가 나서 직접 해보지는 못했다.)
Autopsy를 실행 - New Case - Case Name은 임의로 설정 - 건드리지 말고 Next
Add Data Source에서 Disk Image or VM File - Next - Path 설정 - 시간 설정 Asia/Seoul - Next - Finish
Autopsy에서 분석한 게 나옴
File Types나 Archieve 등을 나열해주고 안을 확인할 수 있게끔 해준다. 분류를 알아서 해준다.
FTK의 경우에는 원하는 파일을 직접 찾아야 하는데, Autopsy에서는 알아서 분류를 해주는 것이다.
본 게시글은 아래의 강의를 시청하고 공부 목적으로 작성됨.
[지금 무료] 기초부터 따라하는 디지털포렌식 강의 | 훈지손 - 인프런
훈지손 | 기초부터 따라하는 디지털포렌식 강의입니다. 강의를 따라하다보면 '물 흐르듯, 자연스럽게' 실력이 늘어가는 강의를 추구합니다., 초보자 눈높이에 딱 맞춘, 원리를 이해하는 디지털
www.inflearn.com
'슈포스 > 디지털 포렌식 개론' 카테고리의 다른 글
| [강의]인프런 : 기초부터 따라하는 디지털 포렌식 섹션3(2) (0) | 2024.11.11 |
|---|---|
| [7장]디지털 증거 분석 기술 (2) | 2024.11.05 |
| [6장]디지털 증거 수집 기술 (0) | 2024.11.05 |
| [강의]인프런 : 기초부터 따라하는 디지털 포렌식 섹션3(1) (1) | 2024.11.05 |
| [5장]디지털 포렌식 수행 절차 (2) | 2024.10.08 |