컴퓨터보안

 

디지털포렌식

디지털 포렌식 수행과정
(1) 사전준비
      -사건 발전 이전
      -조사자의 기본 훈련 과정
       ▶디지털 데이터
        (1) 휘발성 데이터
                -최소한의 변경을 가져오는 방식으로 수집
        (2) 비휘발성 데이터
                -쓰기방지장치 부착
                -이미징: 복제본 작성
        ▶통합도구: EnCase, FTK(forensic tool kit)
(2) 증거수집
      -사건현장에서 증거 수집
      -디지털 기기 파악
      -네트워크 구성 파악
      -원본 그대로 수집
(3) 포장 및 이송
      -수집된 증거를 안전하게 분석실로 이송
      -충격방지 안전조치
      -인수인계시 압수물 확인, 분류목록 작성
      -제조일자, 고유번호, 모델, 식별 표식 부착
(4) 조사분석
      -확보된 증거를 분류하고 조사
      -데이터 추출, 분류
      -실행 프로그램 추적: 레지스트리 분석, 로그 분석
(5) 정밀검토
      -사건을 재구성하여 분석결과를 재검토한다,
      -도출된 결과검토
      -검토는 분석에 참가하지 않은 사람으로부터 재검토
(6) 보고서 작성
      -결과를 정리한다.
      -법정제출용
      -객관적으로 서술하고 사실관계만 명시

디지털 증거
▶법정에서 신뢰할 수 있는 것
▶증거가치가 있는 정보
▶증거로 판단
      -기록 방식에 대한 지식필요
      -저장원리, 검색원리, 동작원리
      -증거가 무엇인지, 어떤 프로그램으로 생성되었는지

1. 속성에 따른 분류
[1] 내용물; 사건을 직접적으로 증명해주는 증거
[2] 특성정보: 메타데이터(증거의 부가적 정보) 정보

2. 생성주체에 따른 분류
[1] 컴퓨터 저장 증거: 사람이 직접 저장한 것
[2] 컴퓨터 생성 증거: 컴퓨터가 스스로 만든 것
           -자동화 프로세스에 의하여 생성된 것
           -일반적인 특성 정보
          (ex. 사진찍으면 날짜 찍혀있는거)

디지털 증거의 특성
(1) 비가시성
(2) 변조가능성
(3) 복제용이성
(4) 대규모성
(5) 휘발성 
     ex) 작업하다가 전원꺼지면 내용 날라가는거.
(6) 초국경성 : 인터넷 덕분에 국경을 초월할 수 있다는 거.

디지털 증거의 법적 허용성 받기 위해서는
(1) 디지털 증거에 대한 문제제기 형태 -> 기록변경, 조작, 손상에 대한 의문
(2) 효력을 갖기위한 속성에는 인증성, 무결성, 신뢰성, 원본성이 있어야함.  

안티포렌식
: 범죄자가 증거를 차단하려는 활동
(1) 데이터 완전 삭제  (디가우징 기계 같은거 있자너~ ? 넹? 그게 뭐에용?)
(2) 데이터 변조
(3) 데이터 암호화