슬라이드 1

Similar documents
슬라이드 1

Microsoft PowerPoint - [#4-2] File System Forensic Analysis.pptx

슬라이드 1

Microsoft Word - 9[1].정익래.doc

Dropbox Forensics

2019년도 지엠디 교육

Microsoft PowerPoint - live_forensic.pptx

슬라이드 1

경우 1) 80GB( 원본 ) => 2TB( 복사본 ), 원본 80GB 는 MBR 로디스크초기화하고 NTFS 로포맷한경우 복사본 HDD 도 MBR 로디스크초기화되고 80GB 만큼포맷되고나머지영역 (80GB~ 나머지부분 ) 은할당되지않음 으로나온다. A. Window P

C# Programming Guide - Types

Microsoft PowerPoint - 알고리즘_1주차_2차시.pptx

PowerPoint Presentation

<4D F736F F F696E74202D20B5F0C1F6C5D020C6F7B7BBBDC420B0B3B7D05F31C0E52E >

*2008년1월호진짜

컴퓨터관리2번째시간

BMP 파일 처리

PowerPoint Presentation

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키


Raspbian 설치 라즈비안 OS (Raspbian OS) 라즈베리파이 3 Model B USB 마우스 USB 키보드 마이크로 SD 카드 마이크로 SD 카드리더기 HDM I 케이블모니터

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

PowerPoint Presentation

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드]


10.hwp

Windows Server 2012

Windows 8에서 BioStar 1 설치하기

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

디지털포렌식학회 논문양식

네이버블로그 :: 포스트내용 Print VMw are 에서 Linux 설치하기 (Centos 6.3, 리눅스 ) Linux 2013/02/23 22:52 /carrena/ VMware 에서 l

P2WW HNZ0

슬라이드 1

Install stm32cubemx and st-link utility

공지사항

비디오 / 그래픽 아답터 네트워크 만약에 ArcGolbe를 사용하는 경우, 추가적인 디스크 공간 필요. ArcGlobe는 캐시파일을 생성하여 사용 24 비트 그래픽 가속기 Oepn GL 2.0 이상을 지원하는 비디오카드 최소 64 MB 이고 256 MB 이상을 메모리

슬라이드 1

Microsoft Word - src.doc

PowerPoint 프레젠테이션

chapter4


<41736D6C6F D20B9AEBCADBEE7BDC42E687770>

Forensic Analysis

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

MySQL-.. 1

<4D F736F F F696E74202D C61645FB3EDB8AEC7D5BCBA20B9D720C5F8BBE7BFEBB9FD2E BC8A3C8AF20B8F0B5E55D>

Cloud Friendly System Architecture

4S 1차년도 평가 발표자료

Xcovery 사용설명서

PCServerMgmt7

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

System Recovery 사용자 매뉴얼

YUM(Yellowdog Updater,Modified) : RPM 패키지가저장된서버 ( 저장소 ) 로부터원하는패키지를자동으로설치한다. : YUM 도구는 RPM 의패키지의존성문제를해결

ActFax 4.31 Local Privilege Escalation Exploit

Microsoft PowerPoint - chap01-C언어개요.pptx

Microsoft PowerPoint - o8.pptx

Open Cloud Engine Open Source Big Data Platform Flamingo Project Open Cloud Engine Flamingo Project Leader 김병곤

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용

Microsoft PowerPoint - 권장 사양

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]

Mango-IMX6Q mfgtool을 이용한 이미지 Write하기

<4D F736F F D D31312D30312D53572D30312DBBE7BFEBC0DABCB3B8EDBCAD5FBFDCBACEB9E8C6F7BFEB2E646F63>

PowerPoint Template

Outline 1. FAT12/16/32 ü Introduction ü Internals ü Directory Structure ü Example

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

GNU/Linux 1, GNU/Linux MS-DOS LOADLIN DOS-MBR LILO DOS-MBR LILO... 6

RHEV 2.2 인증서 만료 확인 및 갱신

vm-웨어-01장


EndNote X2 초급 분당차병원도서실사서최근영 ( )

ESET Endpoint Security

PowerPoint 프레젠테이션

제목을 입력하세요

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

금오공대 컴퓨터공학전공 강의자료

Internet Explorer 11 자동업데이트방지 사용자가이드 작성일 : Version 1.0

슬라이드 1


월간 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호

PowerPoint 프레젠테이션

Slide 1

(72) 발명자 서진교 경기 용인시 수지구 풍덕천2동 1167 진산마을 삼성5차아파트526동 1004호 조필제 경기 용인시 풍덕천동 유스빌 401호 - 2 -

User Guide

Microsoft PowerPoint 통신 및 압축 명령어.ppt

Discrete Mathematics

슬라이드 1

Splentec V-WORM Quick Installation Guide Version: 1.0 Contact Information 올리브텍 주소 : 경기도성남시분당구구미로 11 ( 포인트타운 701호 ) URL: E-M

UI TASK & KEY EVENT

0. 들어가기 전

86 윈도우시스템에서디지털포렌식관점의메모리정보수집및분석방법에관한고찰 공, 수집, 분석, 보관하는과정이며, 네트워크포렌식이란침해사고확인을시발점으로침해와관련있는네트워크이벤트를수집, 분석, 저장하는일련의과정이다 [16][14]. 포렌식절차는포렌식준비, 증거물획득, 증거물보관

문서의 제목 나눔고딕B, 54pt

[ 컴퓨터시스템 ] 3 주차 1 차시. 디렉토리사이의이동 3 주차 1 차시디렉토리사이의이동 학습목표 1. pwd 명령을사용하여현재디렉토리를확인할수있다. 2. cd 명령을사용하여다른디렉토리로이동할수있다. 3. ls 명령을사용하여디렉토리내의파일목록을옵션에따라다양하게확인할수

[Brochure] KOR_TunA

Tablespace On-Offline 테이블스페이스 온라인/오프라인

<%DOC NAME%> (User Manual)

PowerPoint 프레젠테이션

JDK이클립스

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

SAS9.2_SAS_Enterprise_Miner_install_guide_single_user_v2

Transcription:

디지털포렌식기술 (Digital Forensics Technologies) 2007. 6. 29. 홍도원 (dwhong@etri.re.kr) 한국전자통신연구원

목차 디지털포렌식개요 디지털포렌식기술 국내외기술동향 저장매체증거수집기술 활성데이터수집및분석기술 디지털데이터분석기술 디지털데이터검색기술 항포렌식대응기술 결론론 2 KRnet2007

디지털포렌식개요 디지털포렌식기술정의 기술의필요성 디지털포렌식적용개념 디지털포렌식적용시나리오 디지털포렌식절차 3 KRnet2007

디지털포렌식기술정의 컴퓨터와같은정보기기장치에내장된디지털자료를근거로삼아그장치를매개체로발생한어떤행위의사실관계를규명하고증명하는기술 컴퓨터포렌식 컴퓨터를매체로한증거수집및분석을위한포렌식 모바일포렌식 핸드폰, PDA, PMP 등의이동형정보기기에대한포렌식 4 KRnet2007

기술의필요성 컴퓨터관련범죄증가및증거자료의디지털화 정보화에따른컴퓨터관련범죄뿐만아니라일반범죄에서도중요증거또는단서가컴퓨터를포함한전자매체내에보관되어있는경우가기하급수적으로증가디지털자료는복사가쉬울뿐만아니라원본과복사본의구분이어렵고조작및생성, 전송, 삭제가매우용이함범죄관련증거자료가디지털화되어감에따라증거수집, 분석을위한전문적인디지털포렌식기술개발이시급 80000 60000 40000 년도 발생건수 2002 2005 41,325 88,731 20000 0 2002 년 2003 년 2004 년 2005 년 컴퓨터, 인터넷관련범죄뿐만아니라모바일기기관련범죄또한급속히증가 [ 출처 : 검찰청사이버범죄수사센터 ] [ 출처 : 경찰청사이버센터대응센터 ] 5 KRnet2007

기술의필요성 디지털포렌식기술의활용도증가 국가기관에서컴퓨터범죄뿐만아니라일반범죄수사에서의활용빈도증가 일반기업체및금융회사등의민간분야에서도디지털포렌식기술의수요가폭발적으로증가 보험사기및인터넷뱅킹피해보상에대한법적증거자료수집및관리활용 내부정보유출방지, 회계감사등의내부보안강화및유지에활용 e-discovery 시행으로민간포렌식서비스수요확대 미국, 2006.12.1 발표, SOX 나 HIPPA 에대한세부법조항시작 민형사소송에서디지털증거제출의무화 매출 10 억불이상의미국기업들은연평균 140 여건의소송이발생 국내기업의글로벌화및국제화에따른디지털포렌식분야기술개발의필요성증대 국내기업의글로벌화및미국의법과제도를 WTO, ISO 등을통해국제화하려는추세를감안할때포렌식분야기술개발및적용은국내기업의경영리스크를줄이고경쟁력향상을가져옴 6 KRnet2007

디지털포렌식적용개념 민간기업 국가기관 컴퓨터과학수사 디지털증거채택 e-discovery 사법기관 법 / 제도마련증거채택 회계감사 디지털포렌식시스템 절차및기능인증 증거인증 인증기관 기밀정보유출탐지 모바일범죄증가 포렌식시스템검증 모바일업체 검증기관 7 KRnet2007

디지털포렌식적용시나리오 On-Line 증거자료수집 1 2 Internet 원격증거자료수집 Digital Forensic S/W 증거자료채택 3 Off-Line 증거자료수집 1 수사관파견 4 분석보고서제출 범죄현장 2 증거자료수집 3 보관및이송 Forensic Lab Digital Forensic S/W 증거분석및보고서작성 Internet RDS 시스템 8 KRnet2007

디지털포렌식절차 수사준비 증거물획득 보관및이송 분석및조사 보고서작성 포렌식툴검증 장비확보 협조체계확립 현장분석 활성데이터수집 디스크이미징 증거물인증 이미지복사 증거물포장및운반 Time Line 분석 Signature 분석 Log 분석 데이터복구 파일및단어검색 증거분석결과 담당자목록 전문가소견 패스워드및암호해독 9 KRnet2007

디지털포렌식기술 국내외기술동향 저장매체증거수집기술 활성데이터수집및분석기술 디지털증거분석기술 디지털증거검색기술 항포렌식대응기술 10 KRnet2007

국외동향 FBI RCFL 및 DoD Cyber Crime Center 운영 모든범죄에대해서포렌식서비스를제공하여 FBI 수사지원사이버범죄연구, 디지털증거획득및분석, 수사관교육 디지털포렌식전문분석실및증거인증기업운영 CFI, Forensic FOCUS, ASCLD 등디지털증거수집, 분석 E-TimeStamp, Surety 등디지털증거무결성입증 11 KRnet2007

국외동향 NIST CFTT 프로젝트포렌식도구기능검증을국가적으로주도디지털포렌식툴의검증및평가방안을제시국가법무연구소와공동으로평가결과보고서발간, 일반인열람가능 NIST NSRL 프로젝트 획득된증거조사분석시효율적인파일검색을위한참조데이터셋 (RDS) 구축조사, 분석에소요되는시간을단축시키기위해검색범위를축소해서조사우선순위부여 Hashed Search 기술 컴퓨터포렌식및모바일포렌식가이드라인 Guidelines on PDA Forensics", Special Publication 800-72 Guide to Integrating Forensic Techniques into Incident Response", Special Publication 800-86 Guidelines on Cell Phone Forensics", Special Publication 800-101 12 KRnet2007

국내외기술개발동향 상용컴퓨터 / 모바일포렌식소프트웨어 Guidance Software사의 EnCase AccessData사의 ForensicToolkit Paraben 사의 Device Siezure Radio Tactics 사의 ForensicSIM Toolkit FinalData 사의 FinalForensics 부정탐지기능을가진기업내부보안강화기술 Integral Solution 사의 Clementine, Thinking Machine 사의 Darwin, SAS 의 Enterprise Miner 가기술선두권에있음 모바일관련기술개발방향디지털융, 복합단말기대상의포렌식기술 SourceForge의 BitPIM, TULP2G 프로젝트가시험개발용으로추진 SIM 카드포렌식과 Main Memory 포렌식기술개발 13 KRnet2007

저장매체증거수집기술 저장매체증거수집 대표적이미지작성툴 이미지파일관련이슈 표준화관련 14 KRnet2007

저장매체증거수집 수사를위해범죄용의자의저장매체에대한일종의복사본을작성함 조사과정에서의변질을방지하고이를확인할수있는방안 ( 무결성 ) 이반드시제공되어야함 대표적인증거수집방식 Disk-to-Disk - 디스크를다른디스크에그대로복사하는방식 - 전용장비를사용할경우, 매우간단하게복사가이루어질수있음 - 원본디스크와사본디스크의사이즈가다를경우각각의해쉬값이달라지므로무결성을증거하기가어려움 Disk-to-File - 디스크에대한이미지파일을작성하는방식 - 이미징을지원하는다양한상용 / 공개프로그램들이존재함 - 무결성을쉽게확인할수있으며하나의디스크를멀티파일로분할하는것도가능함 - 가장일반적인방식 15 KRnet2007

대표적이미지작성툴 EnCase Guidance Software - http://www.encase.com - 컴퓨터포렌식분야에있어 De Factor로간주되고있는통합툴 - 전용의이미지파일포맷을가지고있으며 Expert Witness 포맷을계승하고있음 - 전체디스크의이미지를여러개의파일로분할할수있으며, 각각의파일은복수의블록으로이루어진다. Case Info CRC Block = 64 Sectors of Data =32KB Figure 1. EnCase 의이미지파일포멧 Hash Case Info : the date and time of acquisition + examiner s name + note on acquisition + an optional password. CRC : for each block of 64 sectors. Hash : MD5 for the entire bit-stream. 16 KRnet2007

대표적이미지작성툴 FTK Access Data - http://www.accessdata.com/products/ftp - 전용의포맷을가지지않으며, EnCase 를포함한몇개의포맷을지원하고있음 Advanced Forensic Format DD Simpson Garfinkel and Basic Technologies - http://www.afflib.org - 전용포맷을가지고있으며, EnCase 와 Expert Witness 의파일포맷도지원하고있음 - 공개 S/W Unix/Linux/Window 용공개 S/W - 단순한 Raw 이미지파일을생성하는가장기본적인툴로거의모든포렌식 S/W 에서 이를지원하고있음 17 KRnet2007

이미지파일관련이슈 Metadata HDD serial number, 이미징장소 / 날짜, 전자서명 or 해쉬값 최근의상용 / 공개이미지툴들은기본적으로 Metadata 처리기능을제공함 Metadata 처리방식 1. 이미지파일첨부형 - 이미지파일내에 Metadata 가첨부되는형태 (EnCase, AFF) 2. 이미지파일분리형 - Metadata 를이미지파일과분리하여관리하는형태 (AFF) 이슈사항 1. Metadata 의인코딩방식 : ASCII / UTF 를모두지원해야함 2. Metadata의확장성 : 사용자가손쉽게새로운 Metadata 정보를정의하여사용할수있도록확장성을제공해야함 18 KRnet2007

이미지파일이슈 Compression 최근컴퓨팅환경의발전으로인해일반적인사용자도대용량의 HDD를사용함으로써, 다양한사건에대한이미지파일들을관리하기위해서는데이터를압축하여저장해야함 DD 를제외한대부분의이미징툴들이압축기능을제공하고있음 이슈사항 1. 고속검색을지원할수있는압축알고리즘사용 : 압축을풀지않고도압축블록내의논리적파일구조를확인할수있도록 sgzip(searchable gzip) 과같은알고리즘을사용하여야함 2. 고속압축기법 : 압축전용 H/W 사용을통한고속의데이터압축을지원해야함 19 KRnet2007

이미지파일이슈 Format Raw 파일포맷의경우거의모든툴들에서제공되고있지만, 태생적으로빈약한기능으로인해널리사용되지않고있으며, EnCase의경우대부분의툴들이지원하고있지만해당업체에서실제적인데이터구조를공개하지않고있음 업체별파일의포맷의차이로인해수사기관간의협조가요구될경우, 사용할수있는툴들이제약되고있음 이슈 1. 공개적인표준정립이시급 20 KRnet2007

표준화관련 Common Digital Evidence Storage Format (CDESF) http://www.dfrws.org/cdesf/index.shtml 컴퓨터포렌식커뮤니티에의해사용될수있는증거파일의공개포맷을정의하기위해활동 Survey of Disk Image Storage Formats(v1.0) 발표 - Digital Forensic Research Workshop, 2006년 9월 국내에서는컴퓨터포렌식전반에대해아직까지가시적인표준화가이루어지지않고있음 최근 ETRI 를중심으로디지털증거수집도구및절차에대한표준화를추진하고있음 21 KRnet2007

활성데이터 (Live Data) 수집및분석기술 Live Data 수집및분석기술개요 Live Data 의범위 Live Data 수집툴의동향및방향 22 KRnet2007

Live Data 수집및분석기술개요 Live Data 란무엇인가 좁은의미로는시스템의파워를차단했을때사라지는정보를의미함 넓은의미로는휘발성데이터와비휘발성데이터로구분됨 Live Data 수집의의미 현재까지의시스템상태관찰을통해장기적으로어떤단서에주시해수집된데이터를분석해야하는지정보를제공함 범죄현장일경우현재운용중인시스템의 Live Data 수집을통해범행사실, 범인등에대한중요한단서를획득할수있음 Live Data 수집시기 현장에도착한즉시시스템을끄지않은상태에서 운용중인시스템의휘발성정보및상태를수집 23 KRnet2007

Live Data 수집및분석기술개요 Live Data 수집시고려사항 Live Data 수집및분석의목적에대한이해와이에대한문서화 시스템변동의최소화및시스템변동시이에대한이해필요 라이브시스템분석은네트워크모니터링을제외하고는거의항상시스템변동을발생시킨다. (CPU registers, memory, disk space 등 ) 검사대상시스템의툴을사용하지말것 Live Data 수집의일반적인방법 분석하고자하는시스템에서제공하는툴사용 가장간단하고이미지나동영상등을포함한결과물해석이쉬우나, 시스템변경이발생할수있고, 사용하는툴자체가변경되었을수있으므로권하지않음 목표시스템과동일한시스템 ( 동일 OS, 가능한한유사한환경 ) 구축후분석에필요한툴을 CD에저장, 이를이용하는방법 원격시스템에서네트워크를통한분석 Encase Enterprise 등의일반적인상용툴사용 24 KRnet2007

Live Data 의범위 휘발성정보 시스템시간정보 (System Date, Time) 시스템시간이변경되었을수있으므로외부의시간정보제공툴을이용한확인필요 현재네트워크연결정보, 열려있는 TCP나 UDP 포트및이를통해실행중인프로그램 Cached NetBIOS 정보 현재로그온되어있는사용자 인터넷라우팅테이블 수행중인프로세스및서비스, 열려있거나작업중인파일리스트 메모리덤프 : 각프로세스별메모리또는전체시스템메모리 덤프한메모리내의스트링검색을이용해분석 메모리에포함하고있는내용 최근에열어본파일및메모리에복사된텍스트내용 최근입력된암호화된메시지의텍스트및임시패스워드 채팅내용 악성코드의유무파악가능 25 KRnet2007

Live Data 의범위 비휘발성정보 시스템설치환경 파일시스템타임스템프 레지스트리정보 시스템이벤트로그 과거로그인한사용자들의정보 시스템에등록되어있는모든사용자들의계정과권한 26 KRnet2007

Live Data 수집툴의동향및방향 현재까지의동향 대부분의 Live Data 수집툴들은알려진툴들을통합하여하나의툴형태로제공하고있음 Encase Enterprise 버전에서는감시하고자하는시스템에클라이언트프로그램을설치후네트워크를통해시스템상태를모니터링할수있는기능을제공 네트워크연결상태, 수행중인프로세서, 오픈된파일등 나아가야할방향 정의된 Live Data의수집, 분석, 리포팅작업이가능한독자적이고통합된툴개발필요 포렌식시스템의일부로수용가능 27 KRnet2007

디지털증거분석기술 디지털증거분석기술동향 디스크브라우징 데이터보기 파일복구 은닉데이터추출 웹브라우징히스토리분석 E- 메일분석 레지스트리분석 로그분석 디지털증거분석기술에관한향후발전방향 28 KRnet2007

디스크브라우징 디스크브라우징 획득된저장매체및디스크이미지내부정보를가독성있는형태로변환하여 출력 Computer Forensic 에필요한디스크브라우징기능 이진데이터를폴더및파일단위로출력 파일의이름, 크기, 속성, MAC Time, 해쉬값, 파일시그니쳐등다양한메타데이터출력 각파일에대하여하드디스크상의논리적및물리적위치파악가능 메타데이터각항목별정렬기능 쉽고편리하게다룰수있도록 GUI 환경구성 29 KRnet2007

데이터보기 최근하드디스크용량증가 조사시모든파일을열어서확인불가능 데이터자동보기기능필요 브라우징과정에서파일을인식 Text, Hexa, Picture 등다양한형식으로자동보기기능제공 30 KRnet2007

파일복구 원리 파일이삭제되더라도디스크에는많은정보가보존된상태로남아있음 윈도우파일시스템 ( 예.FAT) MBR Boot Sector FAT1 FAT2 Directory Entry Data Sector 구성 정보영역 데이터영역 MBR: OS 를로드하기위해필요한부팅정보가저장되어있는영역 Boot Sector: 해당파티션을관리하기위한정보가저장되어있는영역 FAT1: File Allocation Table1. 파일에관련된모든정보가저장되어있는영역 FAT2: File Allocation Table2. FAT1 의유실대비복사본 Directory Entry: 파일 / 폴더트리구조정보와이름, 시간정보, 시작클러스터정보 Data Sector: 실제데이터가저장되어있는영역. 실제데이터의내용외에도일부파일이나폴더의 Directory Entry 가들어있음 31 KRnet2007

파일복구 데이터삭제 FAT 영역 해당클러스터가 00 값으로바뀜 Directory Entry 영역 다른정보는그대로있고, 이름의첫글자가 E5h 로바뀌게됨 윈도우에서는해당파일은삭제된것으로간주 Data Sector 영역 실제데이터가그대로남아있음 실제데이터가그대로남아있기때문에, 데이터복구가가능함 드라이브포맷 FAT 영역과 Root Direntory Entry 재설정 Data Sector 영역은그대로있음 MBR Boot Sector FAT1 FAT2 Directory Entry Data Sector 정보영역 데이터영역 32 KRnet2007

은닉데이터추출 NTFS 스트림 / ADS(Alternate Data Stream) NTFS 파일에는일반적으로 2 개이상의데이터스트림이존재 첫번째스트림은프로그램이나파일자체를보유 두번째스트림은파일에대한보안및벤더데이터 세번째스트림은사용자가추가한정보 NTFS 스트림을이용하여숨은데이터스트림을파일 / 디렉토리에추가가능 윈도우에는파일용 ADS 를만드는방법만을제공 해당용도의전문 S/W 를사용하여검색해야함 33 KRnet2007

웹브라우징히스토리분석 인터넷익스플로러에서의중요한 3가지포렌식항목 웹브라우징히스토리 - 용의자가방문했던웹사이트들의 URL 쿠키 - 웹브라우징시에저장된정보 임시인터넷파일 (Temporary Internet Files) 웹브라우징히스토리와하드드라이브상에서웹페이지를구성할수있는파일들을저장 차후에동일웹페이지방문시속도향상을위해웹페이지복사본을저장 index.dat 위의 3가지디렉토리는 index.dat 파일을포함 URL 과쿠키파일들, 그리고로컬하게저장된캐쉬파일들을대한카탈로그 웹브라우징히스토리분석을위한주된파일임 웹브라우징히스토리분석도구 Encase, FTK, IE History, Galleta, Pasco 34 KRnet2007

E-메일분석 E-메일저장소 (repository) 사용자가주고받은 e-메일들을저장하는공간 포렌식관점에서분석필요 Outlook Express (DBX) e-e 메일 자체 2진 e-메일포맷사용 Folders DBX file 특정사용자의다른 DBX 파일들에대한카탈로그파일 파일헤더, 폴더노드, 인덱스엔트리, 데이터블록, 데이터엔트리로구성됨 위치는 C:\Documents and Settings\suspect\Local Settings\Application Data\Identities\{339048E9-5BFB}\Microsoft\Outlook Express E-mail DBX file 실제 e- 메일메시지와첨부파일이저장됨 각파일은 Outlook Express 보기창에서각각의폴더가됨 Inbox, Sent items, Drafts, Deleted Items, etc E-메일분석도구 FTK, Paraban s Network E-mail Examiner, Eindeutig, munpack Inbox E-Mail DBX Sent Items E-Mail DBX Folders DBX File Drafts E-Mail DBX Deleted Items E-Mail DBX 35 KRnet2007

레지스트리분석 MS 윈도우레지스트리 다음과같은정보를담고있음 인스톨된프로그램 가장최근에사용된문서 가장최근에방문한웹사이트 MS 윈도우레지스트리파일들 default, software, system 위치는 C:\windows\system32\config MS 고유 2진포맷으로된레지스트리정보를담고있음 사용자레지스트리파일들 위치는 C:\Documents and Settings\<<userprofile>>\ntuser.dat MRU(Most Recently Used) 문서등과같은사용자관련정보를담고있음 레지스트리분석도구 FTK, Encase, Windows Registry Editor (regedit), regmon 36 KRnet2007

레지스트리분석 포렌식관점에서의레지스트리분석방법 GUI 를이용한라이브시스템분석 (regedit) 분석용이 분석중데이터내용이변경될수있음 커맨드라인을이용한라이브시스템분석 레지스트리정보를수집하는프로파일의수준이낮음 reg 커맨드는주어진키들에대한고유정보수집에사용가능 원격라이브시스템분석 (regedit) 관리자가사용자가인식하지않은상태로원격시스템상에서레지스트리를조사할수있음 레지스트리파일에대한오프라인분석 (Encase 같은분석도구 ) 다이나믹한정보손실가능성 탐색하기어려운구조로되어있으며링크손실 37 KRnet2007

로그분석 이벤트로그 표준로그저장소 (repository) 사용자가컴퓨터상에서무엇을작업했고또한컴퓨터가자체적으로무엇을했었는지 에대한정보제공 애플리케이션로그, 시스템로그, 보안로그 이벤트로그보기를위한표준메커니즘 Microsoft Event Viewer 커맨드프롬프트에 eventvwr 입력 디폴트로로컬이벤트로그들을볼수있음 조사자에게유용한필터링과익스포팅기능제공 38 KRnet2007

로그분석 애플리케이션로그 애플리케이션들에대한정보를담고있음 포렌식관점에서의체크포인트 시스템로그 소프트웨어인스톨확인, 바이러스감염여부확인, 방화벽스타트업 / 셧다운여부 해킹시도가있었는지여부탐지 OS 에의해생성된이벤트들은시스템로그에서캡쳐됨 S/W 와 H/W 인스톨, 프린트작업, 네트워크레벨이벤트 포렌식관점에서의체크포인트 이벤트로그시작 / 종료, 시스템종료 / 재시작, 서비스팩업데이트 / 인스톨, 로그온실패여부, 컴퓨터정보변경 보안로그 로그인 / 로그아웃정보와여러보안관련기능에관한데이터를담고있음 액세스시도와정책변경등 보안로그수집은디폴트로오프되어있음 39 KRnet2007

디지털증거분석기술에관한향후발전방향 지속적인사용자 ( 분석관 ) 요구사항수렴및분석을통한기능추가 다양한플랫폼지원기능 네트워크정보분석기능 정형 DB 분석기능 데이터수집시스냅샷 목록화 이미징 쓰기방지설정기능 증거수집및분석과정자동로깅기능 자동화된보고서작성기능 메신저분석기능 특정패턴자동검색기능 주요파일포맷분류기능 기존주요기능들에대한성능향상 손상데이터복구기능강화 검색 분석시간단축 스왑파일 / 슬랙영역검색기능강화 40 KRnet2007

디지털증거검색기술 디지털증거검색 Hash 검색 Index-based 검색 Bitwise 검색 41 KRnet2007

디지털증거검색 디지털증거검색 컴퓨터포렌식은원하는데이터를찾기위한검색의반복 최근개인용컴퓨터의하드디스크는 200GByte대가넘어가고있으므로, 하나의디스크안에는수많은파일이존재하게됨 따라서, 방대한양의디지털정보중원하는정보를빠른시간내에검색하기위해서는잘알려진파일은검색대상에서제외하고, 주목해서검색할대상을선정하여, 검색범위를축소하는것이중요함 분석할파일과 디스크의용량증가 수백메가용량 기가 / 테라용량 42 KRnet2007

Hash 기반검색기법 Hash 검색 조사자는 Hash 검색을통해검색범위를축소하거나검색대상의우선순위를부여할수있음 파일의 Hash 값은파일의내용에의해결정되므로파일 metadata( 파일명등 ) 이변경되더라도검색가능 Positive Hash 검색 Negative Hash 검색 - 조사자가찾고자하는파일들의 Hash Set ( 주요검색대상 ) - Image, movies, cracking tools 같은 Binary Content - 검색대상에서제외하고자하는잘알려진파일들의 Hash Set - 운영체제와프로그램파일등 - NSRL, HashKeeper 43 KRnet2007

디지털증거검색대상및방법 주요검색방법 검색할대상이나검색방법에따라다음과같이구분가능 검색대상에따라 Slack Space / Unallocated Space 기반 File 기반 검색방법에따라 Bitwise 검색 Index-based 검색 44 KRnet2007

Index-based 검색 모든파일에대하여사전에인덱스를생성 새로운단어를이용하여빠르게검색하거나반복해서검색할때유용 Index 생성방법 디스크상의모든파일을오픈 파일상의모든단어를검색 검색된단어에대해인덱스를생성 Index-based 검색의장점 파일기반의검색이므로 MS-Office, PDF 등의다양한파일포맷에대해서검색 이가능 이런파일들은 ASCII 포맷으로저장되어있지않기때문에 Bitwise 검색의경우매우비효율적임 인덱싱에시간이많이걸리지만인덱싱후에는실시간검색이가능 45 KRnet2007

Index-based 검색툴 Index-based 검색툴 네이버내 PC 검색 Google Desktop dtsearch 46 KRnet2007

Bitwise 검색 디스크의처음부터끝까지 Raw Data 에대해서검색 지워진파일이나남겨진조각파일들도검색 Bitwise 검색의장점 Unallocated Space 나 Slack Space 검색가능 ASCII, Unicode 검색뿐만아니라복잡한정규표현식 (Regular Expression) 을이용한검색가능 파일헤더 (Signature 등 ) 와같이텍스트가아닌 binary value 도검색가능 47 KRnet2007

Bitwise 검색 Slack Space 파일에할당된섹터의마지막에서파일내용의끝부분까지의영역 Slack Space는 File Table에서인식을못하므로삭제된데이터의일부또는공격자가의도적으로감춘데이터가존재할수있음 디스크에서 Slack Space 크기와위치를검사하고디스크의물리적주소를파악하여해당섹터의정보를검색 Sector Sector Sector Sector 512 Bytes A A 파일의크기 1.2 MB File Slack 48 KRnet2007

Bitwise 검색 Signature 운영체제는파일확장자를사용하여상응하는어플리케이션을연결 파일의내용을숨기는방법중하나가파일의확장자를변경하는것임 Ex) 확장자가 dll 이지만실제로는 JPEG 파일인경우사진파일로인식되지않음 하지만확장자가변경되었더라도파일헤더에있는 Signature 는변하지않음 확장자가고의로변경된파일을식별하기위해서는각파일의 Signature와확장자를비교검색하여야함 49 KRnet2007

Bitwise 검색툴 Bitwise 검색툴 Encase ( 버전 6.0 이상에서는 Index-based 검색도지원 ) WinHex 50 KRnet2007

검색방법의선택기준 Index-based 검색 Bitwise 검색 파일의존재 유무 데이터의타입 시간제약 검색의복잡도 파일이존재할것으로예상되는경우 PDF, Excel 등의파일을검색할경우 연속적인검색이나 실시간검색을원할경우 동의어또는유사단어를검색할경우 파일이지워졌을것으로예상되는경우 Text 문서나파일들의헤더를검색할경우 하나의키워드또는그룹의키워드로검색할경우 복잡한정규표현식을사용할경우 51 KRnet2007

항포렌식대응기술 항포렌식 (Anti-Forensic) 이란? 항포렌식기법 항포렌식대응방안 52 KRnet2007

Anti-Forensic 이란? Anti-Forensic 자신에게불리한증거자료를사전에차단하려는활동이나기술 개인이나단체의기밀자료보호 추적및증거물획득을원천적으로자동화된방법으로막아주는전문제품등장 데이터복구회피기법 증거물생성의사전봉쇄 ( 증거자동삭제 ) 데이터은닉 (Steganography) 데이터복구회피 증거물생성의사전봉쇄 데이터암호화 MS Office 암호화, EFS, BitLocker 등 데이터은닉 (Steganography) 53 KRnet2007

Anti Forensic 대응방안 Anti Forensic 대응방안 데이터복구 삭제된증거데이터복구 Password 전수조사 암호화된데이터파일의 Password 전수조사 54 KRnet2007

Password Cracking Tools AccessData PRTK Password Recovery Toolkit MS-Office, PGP, RAR, ZIP, WS_FTP 등잘알려진프로그램의파일에패스워드가설정되어있을경우, 패스워드를복구 파일, 폴더, 하드드라이브를복호화 Microsoft EFS(Encrypted File System) 에의해보호된파일도접근가능 보호된파일의정보와해당패스워드들을리스트창으로보고 http://www.accessdata.com/downloads.htm 에서 Demo 버전을다운 Dongle 이있어야모든기능을사용할수있음 PRTK 6.0 가격은 $595 55 KRnet2007

EnCase Enterprise EnCase Enterprise Modules ProSuite for EnCase Enterprise EDS(EnCase Decryption Suite) VFS(Encase Virutal System) PDE(Encase Physical Disk Emulator) http://www.encase.com/products/ee_modules.aspx EFS 의암호화된파일과폴더의복구가가능 Utimaco 사의디스크기반암호제품, Outlook 의 PST 패스워드의복구가가능 Internet Explorer 의 Protected storage area 의분석과자동복호가가능 56 KRnet2007

결론 디지털포렌식연구개발분야 해외의제품과비교해경쟁력및신뢰성있는한국형디지털포렌식도구개발필요 대형화및복잡화되는디지털증거에대응할수있는기술확보 대용량디지털데이터고속검색및분석기술 고속이미징및압축기술 다양한디바이스에대한 Embedded Forensic 기술 항포렌식대응기술 e-discovery / e-record 연계기술 디지털포렌식관련법 / 제도분석및대응 57 KRnet2007

58 KRnet2007