- NEW초롱이의 하루
- kisa
- 길은 가면, 뒤에 있다
- C언어 예술가
- Zer0 day - Zer0 day
- Information Security
- Secure-EDU
- 앙큼한유채's 일상 Story
- Library of Ezbeat (잠정 폐쇄)
- The Factory
- 안드
- 모후모후의 커뮤니티
- 공학도의 잡다한 시선
- 안드2
- IT속에 코코아
- IP주소검색(whois)
- IP주소검색(좌표포함)
- 소프트웨어 경력 관리
- 해저 케이블 지도
- MAC주소검색
- IANA
- 포트번호검색
- 자신의IP확인
- 웹페이퍼캡처
- 나의패스워드보안등급
- 웹 취약점 분석
- IT용어정리
- GitHub
- 라이브러리 모음
- 웹마당넷
- 시스템콜참고
- BCD 변환
- 보안뉴스
- 코딩도장(C, Python)
- 백준알고리즘
- 코딩테스트 연습
- 웹 사이트 테스트
- 스크립트꾸미기
- ctf대회목록
- 전자신문
- hash 크랙
- CVE
- 도메인등록
- N클라우드
- BugBountyList
- 칼리공식사이트
- CR4FTING BOX
- 아스키코드 변환
- 웹 사이트 통계 및 평가
- PDF변환
- AWS 및 클라우드 정보
- 가상화 및 서버관련
- 티오리
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | |||||
3 | 4 | 5 | 6 | 7 | 8 | 9 |
10 | 11 | 12 | 13 | 14 | 15 | 16 |
17 | 18 | 19 | 20 | 21 | 22 | 23 |
24 | 25 | 26 | 27 | 28 | 29 | 30 |
- Android
- 메소드
- GUI
- 리눅스
- GPIO
- 그라파나
- Tkinter
- RaspberryPi
- 네트워크
- Linux
- ACL
- Java
- synology
- docker
- 라즈베리파이
- 쉘 스크립트 기초
- JSP
- 쉘 스크립트 if문
- 프로젝트
- API
- LEVIATHAN
- Shell script
- 안드로이드
- 자바
- centos docker
- 클라우드
- nginx
- Python
- System
- 쉘 스크립트
- Today
- Total
IT창고
포렌식 개념 본문
이 글은 http://www.parkjonghyuk.net/의 내용을 참고하였습니다.
forensic science(법과학)는 범죄의 사실을 규명하기 위해서 각종 증거를 과학적으로 분석하는 분야를 뜻합니다.
Digital Forensic은 범죄 현장에서 확보한 개인컴퓨터나 서버 등의 시스템, 전자장비에서 수집할수있는 디지털 증거물에 대해 수집, 보존, 확인, 식별, 기록, 분석, 재현 등을 과학적으로 도출하는 증명 가능한 방법으로 수행하는걸 뜻합니다.
즉 Digital Forensic은 컴퓨터 관련 조사,수사를 지원하면서 디지털 자료가 법적효력을 갖도록 하는 과학적, 논리적 절차와 방법을 연구하는 학문입니다.
Digital Forensic 조사의 일반원칙에 대해 알아보겠습니다.
정당성의 원칙 : 입수 증거가 적법절차를 거쳐 얻어야한다.
- 위법수집증거배제 법칙 : 위법절차를 통해 수집된 증거의 증거능력 부정
- 독수의 과실이론 : 위법하게 수집된 증거에서 얻어진 2차 증거도 증거능력이 없다
재현의 원칙 : 같은 조건에서 항상 같은 결과가 나와야 한다
신속성의 원칙 : 전 과정은 지체없이 신속하게 진행되어야 한다
연계보관성의 법칙 : 증거물 [획득 - 이송 - 분석 - 보관 - 법정 제출]의 각 단계에서 담당자 및 책임자를 명확히 해야 한다
- 즉 수집된 하드 디스크가 이송단계에서 물리적 손상이 있었다면 이송 담당자는 이를 확인하고 해당 내용을 인수인계, 이후 과정에서 복구 및 보고서 작성 등 적절한 조치를 취할 수 있어야만 한다
무결성의 원칙 : 수집 증거가 위,변조 되지 않았음을 증명해야 한다
- 수집 당시의 데이터 hash값과 법정 제출 시점 데이터의 hash값이 같다면 hash함수의 특성에 따라 무결성을 입증할수있다
MD5일 경우 128bit출력 , SHA-1의 경우 160bit 출력
디지털 증거에 대해 알아보겠습니다.
디지털 증거는 전자적 형태로 유통되거나 저장된 데이터로 사건의 발생 사실을 입증 혹은 반박하는 정보 또는 범행 의도나 알리바이와 같은 범죄의 핵심 요소를 알수있는 정보를 디지털 증거라고 합니다.
보통 컴퓨터 시스템에는 하드디스크나 USB같은 휴대용 저장장치가 있고 통신 시스템에는 네트워크 정보나 방화벽 혹은 UDS등의 로그기록이 있으며 임베디드 시스템에서는 휴대폰, PDA, MP3플레이어 같은 장치가 되겠습니다.
마지막으로 Digital Forensic의 절차에 대해 알아보겠습니다.
1. 조사준비
디지털 증거들의 정보를 분석, 수집, 보존 등을 위하여 분석에 적합한 SW를 마련하거나 개발해야하고 파일시스템, 네트워크장비, OS등에 대한 교육이 필수적이며 장비나 도구(분석용PC, 분해 해체도구 등)를 준비해야합니다.
2. 증거수집
증거 수집시 고려해야 할 사항으로 수집 대상 확인, 전원이켜진 PC에서의 증거수집 등 을 고려해야하고 특히 휘발성 정보의 수집에 주의 해야합니다.
3. 증거 조사 및 분석
증거를 수집했다면 그 증거에서 삭제된 데이터를 복구하거나 해쉬를 분석, 이메일, 링크파일, 레지스트리, 휴지통, 윈도우 이벤트 로그 분석 등을 해야합니다.
4. 보고 및 증언
분석이 끝났다면 분석 보고서를 작성하는데 분석자, 분석SW, 분석대상, 분석내용, 분석결과 등 자세하게 보고서를 작성해야합니다.
'보안 > Digital forensic' 카테고리의 다른 글
FAT32 파일시스템 (0) | 2018.07.06 |
---|---|
FAT32 파티션 복구 (0) | 2018.07.06 |
디스크 주소 표현 방식, MBR (0) | 2018.07.05 |
리눅스 디스크포렌식 (0) | 2018.07.04 |
하드디스크의 구조 (0) | 2018.07.03 |