슬라이드 1

Similar documents
슬라이드 1

Microsoft PowerPoint - [#4-2] File System Forensic Analysis.pptx

슬라이드 1

2019년도 지엠디 교육

Microsoft PowerPoint - live_forensic.pptx

Dropbox Forensics


PowerPoint Presentation

<4D F736F F F696E74202D20B5F0C1F6C5D020C6F7B7BBBDC420B0B3B7D05F31C0E52E >

슬라이드 1

Microsoft Word - 9[1].정익래.doc

슬라이드 1

디지털포렌식학회 논문양식

<3132BFF93136C0CFC0DA2E687770>

<4D F736F F F696E74202D C61645FB3EDB8AEC7D5BCBA20B9D720C5F8BBE7BFEBB9FD2E BC8A3C8AF20B8F0B5E55D>

경우 1) 80GB( 원본 ) => 2TB( 복사본 ), 원본 80GB 는 MBR 로디스크초기화하고 NTFS 로포맷한경우 복사본 HDD 도 MBR 로디스크초기화되고 80GB 만큼포맷되고나머지영역 (80GB~ 나머지부분 ) 은할당되지않음 으로나온다. A. Window P

C# Programming Guide - Types

Microsoft PowerPoint - 알고리즘_1주차_2차시.pptx

Raspbian 설치 라즈비안 OS (Raspbian OS) 라즈베리파이 3 Model B USB 마우스 USB 키보드 마이크로 SD 카드 마이크로 SD 카드리더기 HDM I 케이블모니터

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

PowerPoint Presentation

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

<3132BFF93136C0CFC0DA2E687770>

컴퓨터관리2번째시간


PCServerMgmt7

PowerPoint Presentation

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]

슬라이드 1

비디오 / 그래픽 아답터 네트워크 만약에 ArcGolbe를 사용하는 경우, 추가적인 디스크 공간 필요. ArcGlobe는 캐시파일을 생성하여 사용 24 비트 그래픽 가속기 Oepn GL 2.0 이상을 지원하는 비디오카드 최소 64 MB 이고 256 MB 이상을 메모리

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

PowerPoint 프레젠테이션

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

BMP 파일 처리

P2WW HNZ0

10.hwp

DE1-SoC Board

PowerPoint 프레젠테이션

Install stm32cubemx and st-link utility

chapter4

제목을 입력하세요

금오공대 컴퓨터공학전공 강의자료

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O

<41736D6C6F D20B9AEBCADBEE7BDC42E687770>

Microsoft PowerPoint - CoolMessenger_제안서_라이트_200508

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드]

Analyst Briefing

Mango-IMX6Q mfgtool을 이용한 이미지 Write하기

4S 1차년도 평가 발표자료

28 THE ASIAN JOURNAL OF TEX [2] ko.tex [5]

1217 WebTrafMon II

05Àå

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

PowerPoint 프레젠테이션

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

rv 브로슈어 국문

Windows 8에서 BioStar 1 설치하기

Special Theme _ 스마트폰 정보보호 스마트폰은 기존 PC에서 가지고 있던 위협과 모바일 기기의 위협을 모두 포함하고 있다. 다시 말하면, 다양 한 기능이 추가된 만큼 기존 PC에서 나타났던 많은 위 협들이 그대로 상속되며, 신규 서비스 부가로 인해 신 규 위

초보자를 위한 ADO 21일 완성

놀이동산미아찾기시스템

08SW

Microsoft Word - src.doc

[ 컴퓨터시스템 ] 3 주차 1 차시. 디렉토리사이의이동 3 주차 1 차시디렉토리사이의이동 학습목표 1. pwd 명령을사용하여현재디렉토리를확인할수있다. 2. cd 명령을사용하여다른디렉토리로이동할수있다. 3. ls 명령을사용하여디렉토리내의파일목록을옵션에따라다양하게확인할수

B _00_Ko_p1-p51.indd

SAS9.2_SAS_Enterprise_Miner_install_guide_single_user_v2

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

슬라이드 제목 없음

Scopus 한국어이용가이드-3차수정

10 J1_ _RR_안재형_수정중.hwp

160322_ADOP 상품 소개서_1.0

네이버블로그 :: 포스트내용 Print VMw are 에서 Linux 설치하기 (Centos 6.3, 리눅스 ) Linux 2013/02/23 22:52 /carrena/ VMware 에서 l

Microsoft PowerPoint - o8.pptx

Ver 1.0 마감하루전 Category Partitioning Testing Tool Project Team T1 Date Team Information 김강욱 김진욱 김동권

공지사항

Windows Storage Services Adoption And Futures

Portal_9iAS.ppt [읽기 전용]

*2008년1월호진짜

EndNote X2 초급 분당차병원도서실사서최근영 ( )

untitled

문서의 제목 나눔고딕B, 54pt

[White Paper]다시보는 시맨틱 웹 그리고 시맨틱 기술 하는 Tabulator와 Sindice에 기반한 데이터 매쉬업 및 브라우징 서비스인 sig.ma는 꼭 한번 경험해 봐야 할 대상이 다. 또한, SemaPlorer나 DBpedia Mobile 경우는 LOD

ESP1ºÎ-04

슬라이드 1

Copyright 2013 삼성전자 본사용자설명서의저작권은삼성전자가보유하고있습니다. 이자료의전부또는일부를무단으로복제하거나사용하거나공개하는행위는엄격히금지되며저작권법에위배됩니다. 삼성전자는언제든지예고없이여기에포함된사양을변경할수있는권한을보유합니다. 이자료에서삼성전자가제공하는

목차 006/ 008/ 009/ 011/ 012/ 013/ 014/ Part 1_ 컴퓨터가 제대로 작동하지 않을 때 문제00_ 윈도우7 복구(초기화) 방법 안내 문제01_ 컴퓨터의 전원 버튼을 눌러도 아무 반응이 없어요. 문제02_ 전원을 누르면 팬(쿨러)이 돌아가는

Microsoft Word - 문필주

Dialog Box 실행파일을 Web에 포함시키는 방법

Chapter ...

목 차 Ⅰ. 일반사항 1 Ⅱ. 특기사항 3 Ⅲ. 물품내역 및 세부규격 8 Ⅳ. 주의사항

DBMS & SQL Server Installation Database Laboratory

Eclipse 와 Firefox 를이용한 Javascript 개발 발표자 : 문경대 11 년 10 월 26 일수요일

UML

Slide 1

최종_백서 표지

ActFax 4.31 Local Privilege Escalation Exploit

Open Cloud Engine Open Source Big Data Platform Flamingo Project Open Cloud Engine Flamingo Project Leader 김병곤

항목

김기남_ATDC2016_160620_[키노트].key

월간 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호

Transcription:

Introduction to Digital Forensics 2008. 6. 25. 은성경 (skun@etri.re.kr) 한국전자통신연구원

목차 디지털포렌식개요 디지털포렌식기술 기술동향 2 KRnet2008

디지털포렌식개요 포렌식? 디지털포렌식정의 디지털포렌식분야 디지털포렌식절차 3 KRnet2008

포렌식? 4 KRnet2008

포렌식? Forensic science (often shortened to forensics) is the application of a broad spectrum of sciences to answer questions of interest to the legal system. (wikipedia) Area Forensic Pathology Forensic Dentistry Forensic Psychology Fingerprint Analysis DNA Analysis Ballistics Forensic Toxicology,... 5 KRnet2008

디지털포렌식정의 The use of scientifically derived and proven methods toward the preservation, collection, validation, identification, analysis, interpretation, documentation and presentation of digital evidence derived from digital sources for the purpose of facilitating or furthering the reconstruction of events found to be criminal, or helping to anticipate unauthorized actions shown to be disruptive to planned operations. (2001 DFRWS) 컴퓨터와같은정보기기장치에내장된디지털자료를근거로삼아그장치를매개체로발생한어떤행위의사실관계를규명하고증명하는기술 6 KRnet2008

디지털포렌식분야 컴퓨터포렌식 컴퓨터를매체로한증거수집및분석을위한포렌식 모바일포렌식 핸드폰, PDA, PMP 등의이동형정보기기에대한포렌식 네트워크포렌식 네트워크의사용자추적및로그분석을위한포렌식 소프트웨어포렌식 컴퓨터를매체로한증거수집및분석을위한포렌식 항포렌식대응 디지털포렌식을어렵게하는기술에대한대응 7 KRnet2008

디지털포렌식분야 활성데이터포렌식 휘발성데이터에대한증거수집및분석을위한포렌식 e-discovery 미국민사소송법상의기업내부전자증거확보및제출 8 KRnet2008

디지털포렌식절차 시작 저장매체확인 복제? 아니오 쓰기금지장치연결 예 복제 이미징? 아니오 쓰기금지장치연결 예 이미징 분석 보고서작성 끝 출처 : TTAS.KO-12.0058 컴퓨터포렌식가이드라인 9 KRnet2008

디지털포렌식기술 저장매체증거수집 활성데이터증거수집 디지털증거분석 디지털증거검색 항포렌식대응 모바일포렌식 10 KRnet2008

저장매체증거수집 수사를위해범죄용의자의저장매체에대한일종의복사본을작성 조사과정에서의변질을방지하고이를확인할수있는방안 ( 무결성 ) 이반드시제공되어야함 대표적인증거수집방식 Disk-to-Disk - 디스크를다른디스크에그대로복사하는방식 - 전용장비를사용할경우, 매우간단하게복사가이루어질수있음 - 원본디스크와사본디스크의사이즈가다를경우각각의해쉬값이달라지므로무결성을증거하기가어려움 Disk-to-File - 디스크에대한이미지파일을작성하는방식 - 이미징을지원하는다양한상용 / 공개프로그램들이존재함 - 무결성을쉽게확인할수있으며하나의디스크를멀티파일로분할하는 것도가능함 11 KRnet2008

대표적이미지작성도구 EnCase - Guidance Software - 컴퓨터포렌식분야에있어 De Factor 로간주되고있는통합도구 - 전체디스크의이미지를여러개의파일로분할할수있으며, 각각의파일은복수의블록으로이루어짐 Case Info CRC Block = 64 Sectors of Data =32KB Hash Case Info : the date and time of acquisition + examiner s name + note on acquisition + an optional password. CRC : for each block of 64 sectors. Hash : MD5 for the entire bit-stream. DD - Unix/Linux/Window 용공개 S/W - 단순한 Raw 이미지파일을생성하는가장기본적인도구로거의모든포 렌식 S/W 에서이를지원하고있음 12 KRnet2008

활성데이터증거수집 휘발성정보 시스템시간정보 (System Date, Time) 현재네트워크연결정보, 열려있는포트및이를통해실행중인프로그램 현재로그온되어있는사용자 인터넷라우팅테이블 수행중인프로세스및서비스, 열려있거나작업중인파일리스트 메모리덤프 : 각프로세스별메모리또는전체시스템메모리 비휘발성정보 시스템설치환경 파일시스템타임스템프 레지스트리정보 시스템이벤트로그 과거로그인한사용자들의정보 시스템에등록되어있는모든사용자들의계정과권한 13 KRnet2008

디지털증거분석 디스크브라우징 데이터보기 파일복구 웹브라우징히스토리분석 이메일분석 레지스트리분석 로그분석 14 KRnet2008

디스크브라우징및데이터보기 디스크브라우징 획득된저장매체및디스크이미지내부정보를가독성있는형태로출력 포렌식에필요한디스크브라우징기능 이진데이터에대한폴더및파일단위출력 다양한메타데이터출력및항목별정렬 파일의이름, 크기, 속성, MAC Time, 해쉬값, 파일시그니쳐등 각파일에대하여하드디스크상의논리적 / 물리적위치파악 쉽고편리하게다룰수있도록 GUI 환경구성 최근하드디스크용량증가로조사시모든파일을열어서확인불가능 데이터자동보기기능필요 브라우징과정에서파일을인식 Text, Hexa, Picture 등다양한형식으로자동보기기능제공 15 KRnet2008

파일복구 원리 파일이삭제되더라도디스크에는많은정보가보존된상태로남아있음 데이터삭제 ( 예. FAT) 데이터가삭제되면, FAT 영역은해당클러스터가 00 값으로바뀜 Directory Entry 영역 다른정보는그대로있고, 이름의첫글자가 E5h 로바뀌게됨 윈도우에서는해당파일은삭제된것으로간주 Data Sector 영역 실제데이터가그대로남아있으므로데이터복구가가능함 드라이브포맷 FAT 영역과 Root Directory Entry 재설정 Data Sector 영역은그대로있음 MBR Boot Sector FAT1 FAT2 Directory Entry Data Sector 정보영역 데이터영역 16 KRnet2008

웹브라우징히스토리분석 인터넷익스플로러에서의중요한 3가지포렌식항목 웹브라우징히스토리 - 용의자가방문했던웹사이트들의 URL 쿠키 - 웹브라우징시에저장된정보 임시인터넷파일 (Temporary Internet Files) index.dat 위의 3가지디렉토리는 index.dat 파일을포함 URL과쿠키파일들, 그리고로컬하게저장된캐쉬파일들을대한카탈로그 웹브라우징히스토리분석을위한주된파일임 웹브라우징히스토리분석도구 Encase, FTK, IE History, Galleta, Pasco 17 KRnet2008

이메일분석 이메일저장소 (repository) 사용자가주고받은 e-메일들을저장하는공간 Outlook Express (DBX) 이메일 자체 2진이메일포맷사용 Folders DBX file Folders DBX File Inbox Sent Items Drafts Deleted Items E-Mail DBX E-Mail DBX E-Mail DBX E-Mail DBX 특정사용자의다른 DBX 파일들에대한 catalog 파일 파일헤더, 폴더노드, 인덱스엔트리, 데이터블록, 데이터엔트리로구성 E-mail DBX file 실제이메일메시지와첨부파일이저장됨 각파일은 Outlook Express 보기창에서각각의폴더가됨 Inbox, Sent items, Drafts, Deleted Items, etc 이메일분석도구 FTK, Paraban s Network E-mail Examiner, Eindeutig, munpack 18 KRnet2008

레지스트리분석 MS 윈도우레지스트리 포함정보 인스톨된프로그램 가장최근에사용된문서 가장최근에방문한웹사이트 MS 윈도우레지스트리파일들 default, software, system 위치는 C:\windows\system32\config MS 고유 2진포맷으로된레지스트리정보를담고있음 사용자레지스트리파일들 위치는 C:\Documents and Settings\<<userprofile>>\ntuser.dat 최근열람문서등과같은사용자관련정보를담고있음 레지스트리분석도구 FTK, Encase, Windows Registry Editor (regedit), regmon 19 KRnet2008

로그분석 이벤트로그 표준로그저장소 (repository) 사용자가컴퓨터상에서무엇을작업했고또한컴퓨터가자체적으로무엇을했었는지에대한정보제공 애플리케이션로그, 시스템로그, 보안로그 이벤트로그보기를위한표준메커니즘 Microsoft Event Viewer 커맨드프롬프트에 eventvwr 입력 디폴트로로컬이벤트로그들을볼수있음 조사자에게유용한필터링과익스포팅기능제공 20 KRnet2008

디지털증거검색 -1 디지털증거검색 컴퓨터포렌식은원하는데이터를찾기위한검색의반복 최근개인용컴퓨터의하드디스크는 500GByte대가넘어가고있으므로, 디지털범죄증가로각종전자매체내에보관된디지털증거도급속도로증가하고있음 년도 2002 2005 발생건수 60,068 88,731 88,731 90000 디지털증거수집용량 컴퓨터, 인터넷관련범죄뿐만아니라모바일기기관련범죄또한급속히증가 77,099 70000 50000 디지털증거수집사건 68,445 30000 60,068 2002 년 2003 년 2004 년 2005 년 출처 : 경찰청사이버테러대응센터, 2006 10000 0 01 02 03 04 05 출처 : FBI CART Team, 2006 21 KRnet2008

디지털증거검색 -2 Hash 검색 방대한양의디지털정보중원하는정보를빠른시간내에검색하기위해서는잘알려진파일은검색대상에서제외하고, 주목해서검색할대상을선정하여, 검색범위를축소하는것이중요함 조사자는 Hash 검색을통해검색범위를축소를축소하거나검색대상의우선순위를부여할수있음 파일의 Hash 값은파일의내용에의해결정되므로파일 metadata( 파일명등 ) 이변경되더라도검색가능 Positive Hash 검색 - 조사자가찾고자하는파일들의 Hash Set ( 주요검색대상 ) - Image, movies, cracking tools 같은 Binary Content Negative Hash 검색 - 검색대상에서제외하고자하는잘알려진파일들의 Hash Set - 운영체제와프로그램파일등 - NSRL, HashKeeper 22 KRnet2008

디지털증거검색 -3 Index-based 검색 모든파일에대하여사전에인덱스를생성 새로운단어를이용하여반복해서검색할때유용 인덱스생성방법 디스크상의모든파일오픈 --> 파일상의모든단어검색 --> 인덱스생성 장점 파일기반이므로검색이므로 MS-Office, PDF 등의다양한파일포맷에대해서검색이가능 인덱싱후에는실시간검색이가능 단점 초기인덱싱에시간이상당히많이걸림 (hours or days) 23 KRnet2008

디지털증거검색 -4 Bitwise 검색 디스크의처음부터끝까지 Raw Data에대해서검색 지워진파일이나남겨진조각파일들도검색 장점 Unallocated Space나 Slack Space 검색가능 파일헤더 (Signature 등 ) 와같이텍스트가아닌 binary value도검색가능 키워드뿐만아니라복잡한정규표현식 (Regular Expression) 을이용한검색가능 단점 검색시간이오래걸림 유사 / 유의어의검색이안됨 24 KRnet2008

디지털증거검색 -5 Slack Space 검색 파일에할당된섹터의마지막에서파일내용의끝부분까지의영역 Slack Space는 File Table에서인식을못하므로삭제된데이터의일부또는공격자가의도적으로감춘데이터가존재할수있음 디스크에서 Slack Space 크기와위치를검사하고디스크의물리적주소를파악하여해당섹터의정보를검색 Sector Sector Sector Sector 512 Bytes A A 파일의크기 1.2 MB File Slack 25 KRnet2008

디지털증거검색 -6 Signature 검색 파일의내용을숨기는방법중하나가파일의확장자를변경하는것임 Ex) 확장자가 dll 이지만실제로는 JPEG 파일인경우사진파일로인식되지않음 하지만확장자가변경되었더라도파일헤더에있는 Signature는변하지않음 확장자가고의로변경된파일을식별하기위해서는각파일의 Signature와확장자를비교검색하여야함 26 KRnet2008

항포렌식대응 항포렌식 (Anti-Forensic) 이란? 항포렌식기법 항포렌식대응방안 27 KRnet2008

항포렌식이란? 항포렌식 자신에게불리한증거자료를사전에차단하려는활동이나기술 개인이나단체의기밀자료보호 추적및증거물획득을원천적으로자동화된방법으로막아주는전문제품등장 데이터복구회피기법 증거물생성의사전봉쇄 ( 증거자동삭제 ) 데이터은닉 (Steganography) 28 KRnet2008

항포렌식기법 -1 데이터복구회피 삭제된파일의데이터중물리적으로디스크에남아있는부분을덮어쓰고삭제하는과정을반복 미국방성 DoD의기밀자료삭제를위한표준 (DoD5220, 22-M): 하드디스크완전삭제 임의의문자로데이터를덮어쓴다. 첫번째문자의보수로덮어쓴다. 다시임의의문자로데이터를덮어쓴다. 이과정을 7번반복한다. 디가우저 (Degausser): 전자기소자를이용해서데이터를파괴시키는장비 29 KRnet2008

항포렌식기법 -2 증거물생성의사전봉쇄 OS에서자동으로생성되는정보중증거가될만한모든정보들을생성즉시자동으로삭제 Web 페이지, 그림, 동영상, 음성파일, 이메일, 레지스터리, 쿠키, 히스토리 데이터암호화 디스크에기록할때데이터를암호화, 읽을때복호화 30 KRnet2008

항포렌식기법 -3 데이터은닉 (Steganography) 디지털매체 ( 이미지파일, MP3) 에정보를암호화하여숨기는기술 데이터가중복되는곳에데이터를숨길수있음. 텍스트파일은데이터가중복되는곳이많지않아어려움 암호화소프트웨어로암호화한후데이터를숨김 숨기고자하는정보의비율이 15% 가넘으면조작된이미지파일은육안으로확인가능 Tool: Cloak v7.0, invisiblesecrets 4 단점 원본의 5~10% 내에서최대한의정보은닉이가능 해결방법 디지털매체의통계적분석방법으로은닉된정보를탐지 패스워드무차별대입방법으로정보확인 31 KRnet2008

항포렌식대응방안 -1 패스워드해독 Dictionary Based Attack Rainbow Table Brutal Force Search 패스워드해독제품 AccessData PRTK(Password Recovery Toolkit), DNA(Distributed Network Attack) Tableau TACC FPGA H/W 사용가능 Elcomsoft Distributed Password Recovery NVIDIA GPU 사용가능 32 KRnet2008

항포렌식대응방안 -2 Steganography 대응기술 알려진 steganography 프로그램 ( 알고리즘 ) 에대하여사용해당이미지 ( 혹은오디오 ) 파일에숨겨진정보가있는지확인하는수준 내용을알지는못함 Steganography 대응제품 WetStone Stego Analyst Backbone Security StegAlyzerSS Signature Scanner 33 KRnet2008

모바일포렌식 모바일포렌식기술분류 소프트웨어접근방법 JTAG 접근방법 칩분리에의한물리적접근방법 34 KRnet2008

모바일포렌식기술분류 Memory forensics CDMA/GSM/WCDMA 플래쉬메모리내의데이터획득, 유효데이터분석 연락처, 통화목록, 통화시간, 착발신메시지, 사진, 동영상, 음성녹음, 일정, 메모, 인터넷브라우저정보, 다운로드파일, 위치정보 소프트웨어접근방법 Jtag 을이용한접근방법 칩분리에의한물리적접근방법 USIM forensics GSM/WCDMA Phone book, SMS, IMSI 구성 한국에서는선택사항 ( 사용자데이터는메모리에보관될수도있음 ) USIM 카드 + 카드리더 + USIM 포렌식프로그램 35 KRnet2008

소프트웨어접근방법의포렌식 상용소프트웨어포렌식툴킷사용 장점 폰과툴킷연결후파일시스템데이터추출 단점 폰에특화된데이터케이블과전용디바이스드라이버필요 메모리내의모든데이터획득불가능 제품 Device Seizure, MobilEdit, Oxygen PM, BitPim(free) 등 Flashing 툴 폰 debugging, diagnose, testing forensics Universal Box, UFS3, Twister, Tornado 36 KRnet2008

JTAG 접근방법의 포렌식 JTAG 인터페이스 이용하여 CPU 칩을 제어하여 휴대폰 메모리 획득 Cellular Phone 분석 Bin data Æ EFS 복구 Bin data Æ 유효 데이터 추출 EFS Æ 유효 데이터 추출 Forensics S/W JTAG Debugger 장점 full image 획득 단점 기종별 jtag 신호 찾기, jtag 케이블 제 작 37 KRnet2008

칩분리에의한물리적접근방법 PCB 로부터메모리칩을분리해서메모리의 full image 추 출 메모리의빈데이터영역, 삭제데이터, live 데이터 모든이용가능한데이터의물리적인획득 장점 Complete full image 획득 Forensically sound 단점 de-soldering 적용 JTAG 이나소프트웨어적인접근방법을이용할수없을때적용 38 KRnet2008

기술동향 관련기관 최신기술동향 표준화현황 학회 39 KRnet2008

관련기관 -1 미국 : FBI RCFL 및 DoD Cyber Crime Center 운영 모든범죄에대해서포렌식서비스를제공하여 FBI 수사지원사이버범죄연구, 디지털증거획득및분석, 수사관교육 디지털포렌식전문분석실및증거인증기업운영 CFI, Forensic FOCUS, ASCLD 등디지털증거수집, 분석 E-TimeStamp, Surety 등디지털증거무결성입증 40 KRnet2008

관련기관 -2 유럽 : ENFSI, FSS, NFI 등을운영 ENFSI(European Network of Forensic Science Institutes) : 포렌식관련지식및수사경험공유를위한유럽의포렌식연구협회 FSS(Forensic Science Society) : 1959년에설립된회원국이 60여개이상인전세계에서가장크고오래된포렌식협회 NFI(Nederlands Forensic Institute) : 포렌식수사및연구개발을추진하며, 포렌식교육과전문인력을양성하는네덜란드포렌식협회 41 KRnet2008

관련기관 -3 NIST CFTT 프로젝트포렌식도구기능검증을국가적으로주도디지털포렌식툴의검증및평가방안을제시국가법무연구소와공동으로평가결과보고서발간, 일반인열람가능 NIST NSRL 프로젝트 획득된증거조사분석시효율적인파일검색을위한참조데이터셋 (RDS) 구축조사, 분석에소요되는시간을단축시키기위해검색범위를축소해서조사우선순위부여 Hashed Search 기술 컴퓨터포렌식및모바일포렌식가이드라인 Guidelines on PDA Forensics", Special Publication 800-72 Guide to Integrating Forensic Techniques into Incident Response", Special Publication 800-86 Guidelines on Cell Phone Forensics", Special Publication 800-101 42 KRnet2008

최신기술동향 -1 e-discovery 43 KRnet2008

최신기술동향 -2 Mobile Forensic 44 KRnet2008

HEWLETT PACKARD SD HEWLETT PACKARD SD HEWLETT PACKARD SD HEWLETT PACKARD SD HEWLETT PACKARD SD 최신기술동향 -3 Large Data 45 KRnet2008

최신기술동향 -4 HW Acceleration FPGA 기반고속 / 병렬해쉬장비와암호크랙킹소개 - 장비명 : TACC1441 Hardware Accelerator - TACC1441은 AccessData의 PRTK 혹은 DNA와연동하여응용프로그램들에대한암호복구를가속화하며주된작업은해쉬함수의고속 / 병렬수행 46 KRnet2008

표준화현황 미국 -NIST Guidelines on PDA Forensics", Special Publication 800-72 Guide to Integrating Forensic Techniques into Incident Response", Special Publication 800-86 Guidelines on Cell Phone Forensics", Special Publication 800-101 국내 TTA TTAS.KO-12.0058, 컴퓨터포렌식가이드라인 TTAS.KO-12.0059, 이동전화포렌식가이드라인 TTAS.KO-12.0057, 컴퓨터포렌식을위한디지털데이터수집도구요구사항 47 KRnet2008

학회 CEIC Computer & Enterprise Investigations Conference Guidence Software 사의주도로교육 (Lab) 과전시회를겸한디지털포렌식관련최대학회. 2008년참가인원 1,200명, 참여회사 37개업체 Techno Security AccessData 사의주관의 Window Forensics 교육과포렌식관련전시회실제업체들의제품및향후로드맵소개가주를이룸. 2007년참가인원 500여명, 참여회사 30개업체 DFRWS Digital Forensic Research WoskShop 대부분포렌식툴구현과이의논리및모델링에관한논문들을발표하는학술적인학회. 2007년참가인원 100여명 48 KRnet2008

학회 HTCIA High Technology Crime Investigation Association AccessData 사의주도로교육 (Lab) 과전시회를겸한디지털포렌식관련규모가큰학회. 2007년참가인원 700명, 참여회사 39개업체 Techno Forensics NIST, Univ. of Fairfax, Institute of Computer Forensics Professionals 주최. 업체의발표자주류를이루고, 기술현황과제품홍보가섞여있음. 2007년참가인원 200명 49 KRnet2008

50 KRnet2008

2024 © docsplayer.org 개인정보보호 | 약관 | 지원