디지털 포렌식: Difference between revisions
From IT위키
No edit summary |
No edit summary |
||
| Line 11: | Line 11: | ||
** '''일시적으로 메모리 혹은 임시파일에 저장되는 증거로 컴퓨터 종료 시 삭제되는 디지털 증거''' | ** '''일시적으로 메모리 혹은 임시파일에 저장되는 증거로 컴퓨터 종료 시 삭제되는 디지털 증거''' | ||
** 램 스랙 영역, 램 비할당 영역, 네트워크 설정 값, 네트워크 연결 정보, 힐행 중인 프로세스, 열려진 파일, 로그인 세션, 운영체제 시간 | ** 램 스랙 영역, 램 비할당 영역, 네트워크 설정 값, 네트워크 연결 정보, 힐행 중인 프로세스, 열려진 파일, 로그인 세션, 운영체제 시간 | ||
** 휘발성이 높은 것부터 빨리 회수해야 한다. | |||
*** ex) 레지스터→캐시→주기억장치(메모리)→임시파일→기타파일 | |||
* 비휘발성 증거 | * 비휘발성 증거 | ||
** '''컴퓨터 종료 시에도 저장매체에 남아 있는 디지털 증거''' | ** '''컴퓨터 종료 시에도 저장매체에 남아 있는 디지털 증거''' | ||
Revision as of 23:09, 21 May 2019
- Digital Forensic
- 디지털 기기를 대상으로 발생하는 특정 행위의 사실 관계를 법정에서 증명하기 위한 방법 및 절차
디지털 증거
- 장치에 저장되거나 네트워크를 통해 전송 중인 자료로서 조사 및 수사에 필요한 증거자료
- 디지털 증거분석
- 장치 혹은 전송 중인 자료에 대한 원본 보존
- 사건 관련 증거를 과학적인 절차를 통하여 추출, 검증, 판단하는 조사·수사 과정
- 휘발성 증거
- 일시적으로 메모리 혹은 임시파일에 저장되는 증거로 컴퓨터 종료 시 삭제되는 디지털 증거
- 램 스랙 영역, 램 비할당 영역, 네트워크 설정 값, 네트워크 연결 정보, 힐행 중인 프로세스, 열려진 파일, 로그인 세션, 운영체제 시간
- 휘발성이 높은 것부터 빨리 회수해야 한다.
- ex) 레지스터→캐시→주기억장치(메모리)→임시파일→기타파일
- 비휘발성 증거
- 컴퓨터 종료 시에도 저장매체에 남아 있는 디지털 증거
- 설정 값, 로그, 애플리케이션 파일, 데이터 파일, 스왑 파일, 덤프 파일, 하이버네이션 파일, 임시 파일
디지털 증거 수집 원칙
- 정당성의 원칙
- 증거 수집 및 절차의 적법성 여부
- 위법수집 증거 배제법칙
- 위법절차를 통해 수집된 증거는 증거 능력을 인정하지 않음
- ex) 해킹을 통해 수집한 증거는 채택 하지 않는다.
- 독수 독과 이론
- 위법하게 수집된 증거에서 얻어낸 2차 증거도 증거 능력을 인정하지 않음
- ex) 해킹으로 얻은 비밀번호로 특정 파일을 복호화 하여 얻은 증거도 인정하지 않는다.
- 재현의 원칙
- 같은 조건과 상황 하에 항상 같은 결과가 나와야 함
- ex) 불법 해킹 용의자의 해킹 툴이 증거 능력을 가지기 위해서는 같은 상황의 피해 시스템에 툴을 적용할 경우 동일한 결과가 나와야 한다.
- 신속성의 원칙
- 디지털 포렌식의 전 과정이 신속하게 진행 되어야 함
- 휘발성 데이터의 특성 상 수사 진행의 신속성에 따라 증거 수집 가능 여부가 달라진다.
- 연계 보관성의 원칙
- 증거물 수집부터 제출까지의 각 단계에서 담당자 및 책임자가 명확해야 함
- 증거획득 → 이송 → 분석 → 보관 → 법정제출
- 저장매체가 이동 단계에서 물리적 손상을 입었다면 이동 담당자는 이를 확인하고 내용을 정확히 인수인계하여 이후 적절한 조치가 취해지도록 해야 함
- 무결성의 원칙
- 수집된 증거가 위조, 변조되지 않아야 함
- 일반적으로 수집 당시 해시 값을 저장하여 증거 제출시 무결성 입증
로카르드의 교환 법칙
- Locard's exchange Principle
- 접촉하는 두 개체는 서로 흔적을 주고 받는다는 원칙
- 누구든 간에 동작 중인 시스템을 다루게 되면 해당 시스템은 변화가 발생한다.
디지털 포렌식 도구
- FTK
- Encase
