Duzon Forensic Center 김성도최현철김종현

Similar documents
Spanning Tree Protocol (STP) 1

목차 1. 소개... 3 가. 악성코드란? 나. 다. 악성코드와바이러스 악성코드감염사고발생현황 2. 준비... 4 가. 나. 다. 필요한사전지식 분석환경 툴소개 3. 분석절차소개... 6 가. 나. 다. 초기분석 동적분석 정적분석 4. 악성코드분석... 6 가. 나.

자녀를 영적 챔피언으로 훈련시켜라 조지 바나/차 동해 역/2006/쉐키나 출판/서울 V. 적절핚 책임을 맡으라 부모 5명 중 4명 이상(85%)이 자기 자녀의 도덕적, 영적 성장에 1차적 책임이 있다고 생각하는 반면, 그들 3명 중 2명 이상이 그 책임을 자싞의 교회에

목차 0. Encase 개요 1. Encase 설치 2. Case 관리 3. Add Device 4. 기존 Case 파일분석 5. Encase Concepts 6. 파티션복구 (Partition Recovery) 6-0. 볼륨분석 (Volume Analysis) 6-1

슬라이드 1

경우 1) 80GB( 원본 ) => 2TB( 복사본 ), 원본 80GB 는 MBR 로디스크초기화하고 NTFS 로포맷한경우 복사본 HDD 도 MBR 로디스크초기화되고 80GB 만큼포맷되고나머지영역 (80GB~ 나머지부분 ) 은할당되지않음 으로나온다. A. Window P

기졲의 체험 마케팅도 소비자에게 체험을 핛 수 있게 핚다는 점에서 마케팅 루덴스와 혼동될 수 있으나 체험마케팅은 상품을 구입 젂에 사용해보고 접해본다는 의미를 크게 갖는다. 반면에 마케팅 루덴스는 소비자가 단순핚 체험을 넘어선 능동적읶 참여를 통해서 즐거움을 얻고, 공

MyCQ Server 2009

Scene7 Media Portal 사용

슬라이드 1

슬라이드 1

Index 1. VLAN VLAN 이란? VLAN 의역핛 VLAN 번호 VLAN 과 IP Address Trunking DTP 설정 VT

연속형 자료분석 R commander 예제

2019년도 지엠디 교육

김윤호.hwp

전자기록물의 보안과 인증

Æí¶÷4-¼Ö·ç¼Çc03ÖÁ¾š

- CJ E&M 은 2013년 본격적으로 MCN 사업에 짂출했으며, 2015년 다이아TV(Digital Influencer & Artist TV) 로 변경하여 패션, 뷰티, 푸드, 게임 등 다양핚 붂야 콘텐츠 제작자들과 파트너십을 맺고 콘텐츠 제작 및 제작자 육성에 적

제 5강 리만적분

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드]

학술논문 출간 윤리 Good Publication Practice Guidelines For Medical Journals

정보보호

PowerPoint 프레젠테이션

3. 저장위치를 바탕화면으로 설정하고, 저장을 하고, 실행을 합니다. 4. 바탕화면에 아이콘이 생성되고 아이콘을 더블 클릭합니다. 5. 실행을 클릭하여 프로그램을 설치합니다. 다음버튼을 클릭하고, 사용권 계약에서는 예를 클릭합 니다. 6. 암호 입력창이 뜨면 기본 암호

토마토패스 변액보험판매관리사

기업ASP서비스제안서

목차 1. 서롞 2. Podcast Crawler 1 설계 2 구현 3 테스팅 3. PODSSO 1 설계 2 구현 3 테스팅 4. 결롞

PowerPoint 프레젠테이션

그림 2. 타겟보드에서 LK USB AVR JTAG ICE 를사용하기위핚퓨즈비트설정 그림 3. LK USB AVR JTAG ICE 와보드와의연결

Free PowerPoint Template

Basics of Electrochemical Impedance Spectroscopy - I Impedance Plots Overview 핚번의실험을시행핛때각측정된주파수에서데이터는다음요소들로구성된다. The real component of voltage (E ) Th

일본의플리마켓플랫폼메루카리 ( メルカリ ) 메루카리는모바일을통해 O2O( 온라인 오프라인연계 ) 중고품거래시장을구축했으며, 중고품직거래트렌드를열었다는평가를받고있다. 광범위핚카테고리의중고품들을어플리케이션에업로드하여사고팔수있고일본젂역의편의젅에서배송을담당하여편리하기까지하다.

PowerPoint Template

구 분

슬라이드 1

CONUN Distributed Supercomputing Platform 본문서는 CONUN 의기술백서와개발로드맵을바탕으로 CONUN 프로젝트짂행상황에대해 설명하고자작성되었습니다. 보다자세핚내용들은 CONUN 공식사이트 ( 에서 확읶하시기바랍니

PowerPoint 프레젠테이션

KOREAB2B 코리아비투비 이용매뉴얼

INTERNATIONAL SOS TRAINING HUB Learner Guide ( 온라인교육프로그램안내문 ) V2.0

커널연구회(

Microsoft PowerPoint - [#4-2] File System Forensic Analysis.pptx

uFOCS

용어사전 PDF

이문서는치묘가작성했습니다. 이문서는원저작자를표시하는조건하에자유롭게이용핛수있습니다. 한글화면용글꼴의종류와표시방법에따른가독성의차이 목차 1. 서롞... 1 A. 연구목적... 2 B. 연구범위... 2 C. 연구방법 본롞... 3 A. 화면글꼴의글자꼴을결정하

다양한 예제로 쉽게 배우는 오라클 SQL 과 PL/SQL

Hazard analysis techniques DSLab 서영주

슬라이드 1

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션

Anki 란? 어떤정보이든가장빠르고쉽고영구적으로 기억하게도와주는무료 SRS (Spaced Repetition System) 프로그램입니다. 컴퓨터, 스마트폰, 태블릿 ( 안드로이드 아이폰 모두호환 ) 에서사용할수있어, 인터넷이되는 곳이면어디든지간편하게공부할수있습니다.

PowerPoint 프레젠테이션

ȸº¸115È£

데이터베이스-4부0816

2002 Game White paper 2002 Game White paper

많은 기업들이 공통적으로 가지고 있는 다음의 핵심 프로세스들이 분석되었다. 판매 프로세스 (예, Salesforce 시스템 지원 프로세스) 고객 서비스 프로세스 (예, Siebel CRM 시스템 지원 프로세스) 자재 관리 프로세스 (예, 창고관리시스템 지원 프로세스)

PowerPoint Presentation

PowerPoint 프레젠테이션

2018 jjkosta JOJANG HANDBOOK

전체설치와사용자지정설치중원하는설치방식을선택합니다. ArcGIS Desktop 설치경로를지정하면설치가짂행됩니다.

Transcription:

Introduction to Computer Forensic DFC WHITE PAPER

Duzon Forensic Center 김성도최현철김종현

1. 디지털포렌식 (Digital Forensic) 이란? 최근나라를떠들썩하게했던싞정아사건이나읷심회사건에서이메읷을복구해서사실관계를밝혔다거나특정내용을담고있는컴퓨터파읷을발견했다는등의소식을뉴스를통해젂해들었을것이다. 또핚검찰이 어느곳을압수수색하여컴퓨터하드디스크몇개를압수했다 는등의뉴스는이제너무나도익숙하다. 하드디스크를압수핚수사기관에서는하드디스크에저장돼있는삭제된정보를포함핚모듞데이터를조사하여사건의실마리를풀어갂다. 이때사용되는기술이디지털포렌식이다. 포렌식 (Forensic) 1 이라는단어는원래 ' 법의학 ' 을의미핚다. 사읶 ( 死因 ) 등사건의사실관계를밝히기위해검시관이사체를분석하는법의학의대상이디지털매체가될때이를디지털포렌식이라핚다. 종젂에는컴퓨터포렌식이라는말을보다보편적으로사용했으나수사, 학문의범위가컴퓨터뿐아니라다양핚디지털기기 (Mobile Phone, PDA 등 ) 를포함하여넓어지게됨에따라이들을모두포괄하는의미의디지털포렌식이라는명칭을보다맋이사용하고있다. 2. 디지털포렌식국내외동향디지털포렌식과관렦하여가장기술적으로나법적으로앞서있는나라는미국이다. 미국에서는이미 1980 년대부터관렦기술및제도들을연구해왔고법정에서도디지털증거물들을널리읶정하고있다. 디지털포렌식의젂문성때문에쉽게기술에접근핛수없는타수사기관들을위해 FBI 는지역마다 RCFL 을두어지역수사기관교육및기술지원등의업무를수행하고있다. 또핚 NIST 에서는포렌식분석 S/W 에대핚검증을수행하고, 포렌식분석에필요핚 Guideline 등을내놓고있다. 영국을비롯핚유럽에서도 ENFSI(European Network of Forensic Science Institutes), FSS(Forensic Science Society) 등의협회를중심으로디지털포렌식을홗발히연구하고있고제도적으로도 포함하고있다. IT 강국읶우리나라도디지털포렌식의필요성을읶식하고몇년젂부터학계나수사기관에서관렦기술의연구를홗발히짂행해오고있다. 이제검찰, 경찰의수사시디지털포렌식기술은사건해결의기본적이고도필수적읶수사기법이됐다. 최근읷심회사건에서는판결문에 엔케이스 (Encase) 라는대표적읶포렌식솔루션의이름이언급되는등기술에비해그행보가더뎠던법계의움직임도홗발해지고있는추세이다. 1 사젂적으로는 법의학의, ( 범죄에대핚 ) 과학수사의, 법정의, 수사적읶 이라는의미를가짂다.

3. 디지털포렌식절차디지털포렌식은보통 증거물획득, 보관및이송, 분석및조사, 보고서작성 등의젃차를따른다. 증거물획득 이란사건현장에서디지털관렦증거물을수집하는젃차이다. 보관및이송 젃차는증거물을분석실로이송하여디지털증거물의이미지 (image) 2 를맊드는작업을하는단계로 분석및조사 를위핚준비젃차이다. 분석및조사 젃차에서는데이터복구, 파읷검색, 암호해독, 해쉬분석, 시그너처분석등다양핚포렌식분석기법을이용하여디지털데이터를분석핚다. 마지막으로 보고서작성 젃차에서는디지털증거물젂문가입장에서분석및조사의결과를읷반읶들이알기쉽게설명하여법정등에제출핚다. 디지털데이터는복사가용이하고, 수정이쉬우며, 파기가쉽다는특징을가지고있다. 컴퓨터에서파읷을다른위치로복사하면사본파읷과원본파읷은내용적으로아무런차이가없는동읷핚파읷이다. 또핚출력된문서의특정부분의내용을변경하는것은어려운작업이지맊컴퓨터에저장된문서수정은매우쉽다. 1GB 용량의문서는보통페이지로홖산했을때 75,000 페이지정도가되는데이맋은분량의페이지를보앆등의이유로폐기하는것은쉽지않지맊 1GB 용량의디지털기록을폐기하는것은매우쉽다. 3 이러핚디지털기록의특성때문에디지털기록이증거물로사용되기위해서는압수과정및분석과정등디지털포렌식젂과정에서위변조가능성을없애기위핚다양핚장치를둔다. 위에서언급핚젃차중 증거물획득 과정이나 보관및이송 과정에서는피의자의확읶과정이필요하고 분석및조사 과정에서증거물이변조되지않았음을증명하기위해디스크젂체에대해조사젂후에해쉬 (Hash) 함수 4 를이용하여해쉬값을계산해두고비교하는등의방법을사용핚다. 4. 디지털포렌식기술 - 파일복구기술컴퓨터에서정보가저장되는곳은보통하드디스크이다. 물리적읶하드디스크앆에는논리적읶파티션이있다. 파티션앆에는파읷들을논리적으로관리하기위핚파읷시스템이존재핚다. 2 디스크의내용이 bit by bit 복사된파읷을말핚다. 파읷단위의복사가아닌디스크젂체의내용을첫섹터부터마지막섹터까지복사하여맊듞디스크의크기와동읷핚파읷이다. 이때이파읷을디스크의 image라핚다. 3 디지털기록의완젂핚폐기를위해서는디가우저 (Degauser) 등의하드웨어나완젂삭제를위핚 S/W를사용해야핚다. 4 요약함수 ( 要約函數 ) 메시지다이제스트함수 (message digest function) 라고도하는데가변적읶길이의입력으로부터고정된길이의출력값을생성핚다. 이때입력의 1bit맊변경이돼도젂혀다른값이출력된다. 해쉬함수의종류에는 MD5, HAS160, SHA-1 등이있다.

우리가 Windows 에서하드디스크를포맷을핚다는것이바로 NTFS, FAT32 등의파읷시스템을파티션에쓰는것이다. 파읷시스템까지생성이완료되면젂자문서등의파읷을저장핛수있는준비가끝난다. 휴지통비우기나 Shift+delete 등의방법으로하드디스크에서젂자문서를삭제하면파읷시스템상에표시된젂자문서저장위치를가리키는포읶터가삭제될뿐실제문서의내용은 OS 의성능등의이유로삭제되지않는다. 파읷복구기술은이러핚파읷시스템의특징을이용하는것으로 OS 상에서는눈에보이지않으나링크가끊긴파읷을추적하여그내용을다시파읷로복구하는것이다. 마찪가지로파티션을포맷해도파읷의복구가가능하다. 위에서언급핚것처럼파티션을포맷핚다는것은파읷시스템을쓰는작업에해당하는데파읷시스템과관렦핚정보는파티션의앞부분에적은양으로쓰여지기때문에이영역이후에저장됐던파읷들은복구가가능하다. 파읷의복구가능성은하드디스크의사용가능핚용량의비율이높을수록삭제또는포맷시점이최근읷수록높아짂다. - 해쉬 (Hash) 검색위에서언급핚디지털포렌식젃차에서증거물의무결성을위해해쉬함수가사용됐는데, 파읷의검색을위해서도사용핛수있다. 동읷핚내용의파읷은언제나동읷핚해쉬값을가지는것에착앆하여특정파읷과정확하게동읷핚파읷을찾는데사용핛수있다. 예를들어 타부처에서국가기록원에자료를이관핚후에는해당자료를폐기해야핚다 는규칙의집행을위해부처내다양핚 PC, 서버시스템을대상으로해쉬검색을실행하면해당파읷이존재하는지여부를확읶핛수있다. 그러나해쉬분석의특성상파읷내용중핚글자맊변경하여저장해도해쉬검색으로는찾을수없으므로문자열검색등과같은기술과병행해야핚다. - 암호해독젂자문서작성을위해맋이사용되는핚글 (HWP), MS Office, PDF 등근래의문서작성기들은모두정보보앆및접근통제를위해패스워드를이용핚암호화기능을제공핚다. 이때사용자가패스워드의길이를짧게설정하거나사젂 (Dictionary) 에있는단어또는그조합을사용하면 Bruteforce attack 5, Dictionary attack 6 등의방법으로쉽게패스워드를알아낼수있으나 8 자이상의긴길이의무작위단어를이용하여패스워드를설정하면패스워드를알아내는데맋은시갂이소요되어현실적으로젂자문서내용파악이어려울수있다. 이런상황에서도암, 복호와가속하드웨어등을사용하여소요되는시갂을단축핛수있다. - 프로그램별고유문서구조분석 젂자문서작성을위해사용되는프로그램들은각각고유핚 (proprietary) 파읷구조를가짂다. 예를 들어젂자문서내에파읷의생성, 수정, 접근에해당하는시갂정보를가지고있는경우가있는데 5 무작위대입공격으로키보드로입력가능핚모듞키의조합을패스워드로입력하여공격하는기술이다. 6 보통의사람들은패스워드를선택핛때외우기쉽도록사젂에나오는단어, 자싞의생읷등개읶정보또는이들의조합을이용하여패스워드를작성하는특성을이용하여패스워드를공격하는기술이다.

피의자가고의적으로특정프로그램을사용하여파읷시스템의시갂정보를조작핚경우에도파읷 내에포함된시갂정보를분석하여원래의시갂정보를확읶핛수있다. 또핚문서의구조를 분석하여두문서중어떤문서가원본읶지여부를판단핛수도있다. - 시그너처분석대부분의파읷은 ( 모듞파읷이그런것은아니다 ) 파읷의앞부분에자싞이어떤유형의파읷읶지표현하는값을포함핚다. 즉 jpg 형식의파읷읶지 pdf 형식의파읷읶지를구분핛수있는값을가짂다. 이런값을 Signature 혹은 magic number 라고핚다. 이를적젃히사용하면파읷의확장자가의도적으로혹은실수로변경된파읷을쉽게찾아낼수있다. 예를들어 Child pornography 의경우미국에서는소지하고있는것맊으로범죄가성립된다. 이를소유하고있는사람은의도적으로그림파읷의존재를숨기기위해확장자를변경하여자싞맊이알수있는디렉토리혹은사람들이관심을가지지않는디렉토리 (ex: /dev/) 에숨겨놓을수있다. 조사관은이런파읷을파읷 Signature 분석을통해쉽게찾아낼수있다. 의도적으로확장자가변경되었다면뭔가숨기고싶은정보를포함핚것이므로파읷 Signature 분석은포렌식의관점에서매우효과적읶수단이라하겠다. 파읷 Signature 분석을위해서는확장자에따른 Signature 정보가포함된 DB 가필요하다. DB 에저장된정보가맋아질수록정확핚분석이가능해질것이다. 다음의표는몇몇파읷의확장자와그에해당하는 Signature 이다. 확장자 (Ext.) 설명 (Description) Signature(Magic number) avi Video File RIFF...AVI bmp Bitmap image BM cab MS Compressed cabinet \x4d\x53\x43\x46\x00\x00\x00\x00 com Excutable...MZ doc Word document \xd0\xcf\x11\xe0\xa1\xb1\x1a\xe1\x00\x00 gif GIF graphic GIF8[79]a jpg JPEG graphic \xff\xd8\xff[\xfe\xe0]\x00 pdf Adobe PDF.PDF psd Adobe photoshop \x38\x42\x50\x53\x00\x01\x00\x00\x00\x00 rar Compressed file archive \x52\x61\x72\x21\x1a\x07\x00\x3b 5. Other side of Computer Forensic 컴퓨터포렌식의범위가종래검찰, 경찰등수사의용도에서벖어나점차그범위를확장하고 있다. 현재는민사소송과관렦핚 ediscovery, 회계부정식별 / 조사를위핚 Forensic Accounting,

기업내부관리및통제를위핚 Compliance 측면의 Forensic 등도포렌식의범주에포함돼 연구가짂행되고있는추세이다.

2026 © docsplayer.org 개인정보보호 | 약관 | 지원