본문 바로가기

디지털 포렌식(Digital Forensics)/디지털포렌식 개론5

11장 리눅스 시스템 조사 리눅스 시스템은 유닉스를 기반으로 개발된 운영제체다. 오픈 소스 소프트웨어로써 다중 사용자를 지원하고, 멀티 태스킹 기능을 제공하는 등의 특징을 갖고 있다. Ubuntu, Redora, Debian 등의 다양한 리눅스 배포판이 있다. 1. 리눅스는 명령어 기반 시스템이다. 즉, 모든 입출력은 문자를 기반으로 수행된다는 것인데, 이는 운영체제의 핵심인 커널이 명령어 기반의 입출력을 하도록 작성되어 있기 때문이다. 2. 디렉토리가 있다. 리눅스는 윈도우와 달리 드라이브 문자가 존재하지 않으며, 필요한 파일시스템을 마운트하여 사용한다. 디렉토리는 절대경로와 상대경로로 표시할 수 있으며, 내용은 다음과 같다. 경로 내용 . 현재 디렉토리 (상대경로) .. 상위 디렉토리 (상대경로) / (루트 디렉토리) 최상위 .. 2020. 9. 16.
10장 윈도우 시스템 조사 레지스트리 레지스트리 (Registry) 윈도우 운영체제와 응용프로그램 구도에 필요한 정보를 저장하는 계층형 데이터베이스 부팅과정, 로그인, 서비스 실행, 응용프로그램 실행, 사용자 행위 등 거의 모든 활동에 관여 특히, 원격접속흔적, 네트워크 연결흔적, 저장매체 사용흔적 등을 정보를 추가적으로 찾을 수 있음 하이브 (Hive) 최상위 폴더에 해당되는 부분 – 루트키 하위 폴더에 해당 되는 부분 – 서브키 각 키마다 파일에 해당되는 값 – 값 (Value) 하이브 파일 : 레지스트리의 물리적인 파일들 대표적인 파일: SAM, SECURITY, SYSTEM, SOFTWARE, NTUSER.DAT, USRCLASS.DAT, BCD, COMPONENTS 위 파일들이 하나의 세트를 구성하여 윈도우 레지스트리가 .. 2020. 9. 10.
7장 디지털 증거 분석 기술 파일 시스템 : 파일을 저장하고 관리하는 방식 Ex ) 윈도우 운영체제 – FAT, NTFS 파일 시스템 미할당 영역을 추출하고 데이터가 존재하면 파일 포맷을 확인한 뒤, 새로운 파일로 생성하는 방식으로 동작한다. 완전 삭제(wiping) 기술: 단순히 삭제 표시를 하는게 아닌 해당 데이터를 모두 삭제하는 기술 -> 증거 인멸 시도를 파악할 수 있음 키워드 검색 : 사건과 관련된 키워드를 선정해 검색하는 것 -> 텍스트 인코딩, 대소문자등의 사항을 고려해야 함 해쉬 검색 : 파일명 또는 파일의 해쉬 값을 이용하여 저장 매체 내에서 특정 파일을 검색하는 것 참조 데이터 세트 : 잘 알려진 파일들의 해쉬 값을 모아 놓은 것 미리 알려진 파일을 분석 대상에서 제외하거나 신속히 검색하기 위해 활용 됨. 다양한 .. 2020. 8. 13.
4장. 디지털 증거(digital evidence) 디지털증거(digital evidence) 0과 1이라는 디지털 형태로 저장되거나 전송되는 증거가치 디지털 증거는 디지털증거가 저장되어 있는 저장 매체의 종료에 따라, 증거의 내용에 따라, 법적 효력에 따라, 디지털 정보의 휘발성 정도에 따라 구분하는 방법 등이 있다. 디지털 데이터의 구성 사람이 입력한 데이터 + 이를 관리하기 위한 메타데이터 ※메타데이터란? 디지털 데이터를 식별하거나 분류하는데 도움이 되는 모든 부가적인 정보 즉, 데이터에 대한 데이터 (ex. 파일명, 해쉬값, 타임 스탬프 등) 보관증거와 생성증거 디지털증거는 보관증거와 생성증거로 나눌 수 있다. 보관증거 : 사람의 사상이나 감정을 표현하기 위하여 사람이 직접 작성한 증거 ex) 사람이 입력한 증거 일반적으로 작성자가 동의하지 않는 .. 2020. 7. 25.
3장 . 디지털 기기와 저장매체 디지털 기기의 구성 1. 중앙처리 장치 : CPU라고도 흔히 불리며, 연산장치, 제어장치, 레지스터로 구성 2. 주기억 장치 : ROM과 RAM이 있음 3. 보조기억장치 : 주기억장치를 보조하는 역할 4. 입출력장치 : 사용자가 입력한 내용을 출력해주는 장치 ex) 프린터, 키보드 ROM (Read-Only Memory) 읽기만 가능한 지억장치 비활성 메모리 ( 시스템이 종료되어도 데이터 유지) 주로 BIOS를 저장하기 위해 사용 ROM 종류 내용 Mask ROM 제조 회사에서 미리 데이터를 기록한 것으로 데이터 변경 불가 PROM 제조된 후 사용자가 한번만 데이터를 기록할 수 있음 EPROM 자외선을 이용해 기록된 내용을 지우고 다시 기록할 수 있음 EEPROM 전기적인 방법으로 기록된 내용을 지우고 .. 2020. 7. 23.

티스토리툴바