Introduction to Digital Forensics 디지털 포렌식에 대해 알아보자
이 포스팅은 securityblueteam에서 무료로 제공하는 Introduction to Digital Forensics 내용을 정리한 것입니다.
INTRO
디지털포렌식 Digital forensics이란 수사에 사용되는 디지털증거의 조사, 보존, 제시 등의 과정이다.
증거의 진정성과 무결성을 입증하여 증거로 사용되거나 범죄를 해결하는데 기여하기도 한다. 침해사고 이후의 조치를 밝히는 DFIR(Digital Forensics and Incident Response)도 있다.
디지털 포렌식의 종류로는 컴퓨터/네트워크/메모리/모바일 포렌식이 있음
디지털 포렌식에 사용되는 도구
증거수집
- KAPE : 아티팩트 수집 및 파싱 자동화, 로컬 시스템이나 원격 시스템에서 배포 가능
- FTK Imager : 하드 드라이브 이미지뿐만 아니라 메모리 이미지 생성 가능
- EnCase : PC, 모바일, IOT 장치 포렌식 이미지 생성 가능
- Cellebrite: 주로 모바일 포렌식에 사용됨
증거수집
- Autopsy : 포렌식 이미지 생성 후 삭제된 파일이나 방문한 웹사이트 등 중요한 정보 빠르게 검색가능
- Volatility : 메모리 덤프와 이미지 분석에 효과적이고 삭제된 파일도 복구할 수 있음
디지털 증거
컴퓨터 수집 증거
: 하드 드라이브 같은 저장매체에 있는 데이터들이 일반적이다. 증거의 유형은 이메일, 이미지, 오디오 파일 등이 있고 데이터가 숨겨져 있을 수 있으며 하드 드라이브의 여유 공간에 숨겨지거나 스테가노그래피를 사용하여 숨겨져있을 수 있음
네트워크 수집 증거
: 웹 프록시나 라우터 장치도 온라인 사이트에 대한 기록을 가지고 있고 사용자가 방문한 브라우저 기록이 있다.
wireshark과 같은 도구를 이용해 네트워크 트래픽과 파켓들을 조사할 수 있음
모바일 수집 증거
: 통화기록(수신/발신/번호 등)과 문자 메시지, GPS 위치, 메모 등의 정보를 수집할 수 있다.
Coc(Chain Of Custody)
보존 연속성을 뜻하는 Coc는 증거가 수집된 이후로 지금까지 절차에서 무결성을 증명하는 방법이다.
증거가 정확하고 변조되지 않았음을 증명하지 않으면 법정에서 인정되지 않을 수 있으므로 중요하다.
CoC의 기본 원칙으로는
- Received From
- Received By
- Date
- Time
CoC를 지키는 경우의 구체적으로 말하자면
- 특정 증거를 누가 수집수집했고, 이후에 누가 관리를 했는지도 기록해야 함
- 수집한 드라이브 이미지를 분석할 때는, 절대 원본 증거를 다루어서는 안 된다. 원본은 해시를 한 후, 전체 복사본을 만들고 해시를 만들어 원본과 해시를 비교한다. 두 해시가 일치하면 복사본으로 분석작업을 한다.
Quiz
퀴즈 다 맞혔다!
중요한 개념 문제만 다시 살펴보겠음
Persistent 영구적인 데이터와 Volatile 휘발성 데이터의 정의 문제
어려운 문제는 아니지만 중요하니까 보고 가기
원본 증거와 복사본이 동일한지 비교하는 방법-해싱