디지털 포렌식 수행과정 (1) 사전준비 -사건 발전 이전 -조사자의 기본 훈련 과정 ▶디지털 데이터 (1) 휘발성 데이터 -최소한의 변경을 가져오는 방식으로 수집 (2) 비휘발성 데이터 -쓰기방지장치 부착 -이미징: 복제본 작성 ▶통합도구: EnCase, FTK(forensic tool kit) (2) 증거수집 -사건현장에서 증거 수집 -디지털 기기 파악 -네트워크 구성 파악 -원본 그대로 수집 (3) 포장 및 이송 -수집된 증거를 안전하게 분석실로 이송 -충격방지 안전조치 -인수인계시 압수물 확인, 분류목록 작성 -제조일자, 고유번호, 모델, 식별 표식 부착 (4) 조사분석 -확보된 증거를 분류하고 조사 -데이터 추출, 분류 -실행 프로그램 추적: 레지스트리 분석, 로그 분석 (5) 정밀검토 -사건을 재구성하여 분석결과를 재검토한다, -도출된 결과검토 -검토는 분석에 참가하지 않은 사람으로부터 재검토 (6) 보고서 작성 -결과를 정리한다. -법정제출용 -객관적으로 서술하고 사실관계만 명시
디지털 증거 ▶법정에서 신뢰할 수 있는 것 ▶증거가치가 있는 정보 ▶증거로 판단 -기록 방식에 대한 지식필요 -저장원리, 검색원리, 동작원리 -증거가 무엇인지, 어떤 프로그램으로 생성되었는지
1. 속성에 따른 분류 [1] 내용물; 사건을 직접적으로 증명해주는 증거 [2] 특성정보: 메타데이터(증거의 부가적 정보) 정보
2. 생성주체에 따른 분류 [1] 컴퓨터 저장 증거: 사람이 직접 저장한 것 [2] 컴퓨터 생성 증거: 컴퓨터가 스스로 만든 것 -자동화 프로세스에 의하여 생성된 것 -일반적인 특성 정보 (ex. 사진찍으면 날짜 찍혀있는거)
디지털 증거의 특성 (1) 비가시성 (2) 변조가능성 (3) 복제용이성 (4) 대규모성 (5) 휘발성 ex) 작업하다가 전원꺼지면 내용 날라가는거. (6) 초국경성 : 인터넷 덕분에 국경을 초월할 수 있다는 거.
디지털 증거의 법적 허용성 받기 위해서는 (1) 디지털 증거에 대한 문제제기 형태 -> 기록변경, 조작, 손상에 대한 의문 (2) 효력을 갖기위한 속성에는 인증성, 무결성, 신뢰성, 원본성이 있어야함.
안티포렌식 : 범죄자가 증거를 차단하려는 활동 (1) 데이터 완전 삭제 (디가우징 기계 같은거 있자너~ ? 넹? 그게 뭐에용?) (2) 데이터 변조 (3) 데이터 암호화
