I. 사이버 범죄의 증거확보 기술, 컴퓨터 포렌식의 개요
가. 컴퓨터 포렌식(Computer Forensic)의 정의
- 컴퓨터를 매개로 이루어진 범죄행위에 대한 법적 증거자료 확보를 위하여 수행되는 증거 자료의 수집, 분석 및 보존 등의 일련의 절차 및 방법
나. 컴퓨터 포렌식의 원칙
- 정당성, 신속성, 재현성, 연계보관, 무결성
II. 컴퓨터 포렌식의 유형 및 주요 기법
가. 컴퓨터 포렌식의 유형
|
구분 |
유형 |
설명 |
|
분석 목적 |
사고대응 포렌식 |
- 로그, 백도어, 로트킷 등 조사, 침입자의 신원, 피해내용, 침입경로 분석 |
|
정보추출 포렌식 |
- 증거를 얻기 위해 디지털 저장매체에 기록된 데이터의 복구 및 검색 |
|
|
분석 대상 |
디스크 포렌식 |
- 하드디스크, CDROM등 각종 보조기억장치에서 증거를 수집 |
|
시스템 포렌식 |
- 운영체제, 응용프로그램 및 프로세스 분석하여 증거 확보 |
|
|
네트워크 포렌식 |
- 네트워크를 통해 전송되는 데이터나 암호 등을 가로채 서버 접근, 분석 |
|
|
인터넷 포렌식 |
- www, ftp등 인터넷 응용 프로토콜을 사용하는 분야에서 수집, 분석 |
|
|
모바일 포렌식 |
- 스마트폰, 태블릿 등 휴대용 기기에서 필요한 정보를 수집, 분석 |
|
|
암호 포렌식 |
- 문서나 시스템에서 암호를 찾아내는 포렌식 분야 |
|
나. 컴퓨터 포렌식의 주요 기법
|
구분 |
기술 |
설명 |
|
수집기술 |
디스크 이미징 |
- 원본 디스크에 손상이나 변경 없이 복사, 이미지 파일 생성 |
|
메모리 덤프 |
- 사용중인 가상 메모리의 덤프를 획득하여 정보 획득 |
|
|
무결성 입증 |
- 증거가 변경되지 않았음을 입증, 해쉬나 메시지 다이제스트 사용 |
|
|
분석기술 |
타임라인 분석 |
- 파일의 생성기간, 최근 접근 시간, 수정시간 분석 |
|
삭제 파일 복구 |
- 클러스터들에 대한 정보 분석을 통한 삭제 파일 복구 |
|
|
비정상 파일 검색 |
- 숨긴 속성의 파일 및 확장자가 바뀐 파일 검색 |
|
|
이메일 분석 |
- 삭제된 파일 복구와 유사하게 이메일 복구 |
|
|
슬랙공간 분석 |
- 클러스터에 남은 공간인 슬랙 공간에 데이터를 은닉 |
|
|
암호 복구 |
- 시스템 또는 파일에 설정된 암호를 크랙하는 기술 |
|
|
덤프 메모리 분석 |
- 코드영역, 데이터영역, 스택영역에 대한 분석 |
'IT기술노트 > 디지털보안' 카테고리의 다른 글
| 스테가노그래피(Steganography) (0) | 2021.02.26 |
|---|---|
| 슬랙 스페이스(Slack Space) (0) | 2021.02.26 |
| 데이터 카빙(Data Carving) (0) | 2021.02.26 |
| 모바일 포렌식 (0) | 2021.02.26 |
| 전자증거개시제도(E-Discovery) (0) | 2021.02.26 |
| 평판기반 탐지보안 (0) | 2021.02.26 |
| 행위기반 탐지보안 (0) | 2021.02.26 |
| DNSSEC(DNS Security Extensions) (0) | 2021.02.26 |
댓글