제 1절) 파일 복구

<제 7장>

디지털 증거 분석 기술

1절) 파일 복구 2절) 검색 기술 3절) 타임라인 분석 4절) 시스템 사용 흔적 분석 5절) 스마트폰 사용 흔적 분석 6절) 안티 포렌식 기술과 대응

7절) 기타 분석 기술

제 1절) 파일 복구

할당 영역

할당 영역

파일 (정상)

파일 (삭제)

미할당 영역

미할당 영역 파일 삭제

사용자가 파일을 삭제하면,

대부분의 운영체제는 이를 삭제하였다는 표시만 제시할 뿐 실제로 해당 파일은 그대로 존재

즉, 삭제된 파일은 파일 시스템의 미할당 영역에 잔존함 이러한 데이터는 새로운 파일이 생성되어 해당 영역이 덮어 써지지 않는 이상, 파일 복구 도구를 이용하여 복구 가능 ( 널리 사용되는 데이터 복구 도구 : GetData사의 Recover MyFiles)

※파일 복구 과정 : 파일 시스템에서 미할당 영역 추출

→데이터가 존재하면 해당 데이터 해석→ 이미 알려진 유형의 파일 포맷인 경우 그 부분을 새로운 파일로 생성 삭제된 파일의 복구가 가능하기 때문에 중요한 파일을 파기할 때는 해당 데이터까지 모두 삭제하는 완전 삭제 (wiping) 기술을 이용해야 함→안티포렌식으로도이용

→이에 대한 대책 X

제 2절) 검색 기술 - [1] 키워드 검색

※_{키워드 검색이란?}

사건과 관련된 키워드를 선정하여 저장 매체를 대상으로 검색

단, 같은 키워드라도 인코딩 방식에 따라 전혀 다른 값이 되기 때문에 키워드의 형태를 결정한 후 검색을 수행해야 함

검색 도구( GREP, EGREP ) , 에디터( vi, Emacs ) →정규 표현식 사용 Ex) EnCase의키워드 검색 기능→ GREP 정규 표현식 사용 키워드 검색 : 해당 키워드를 저장매체에서 순차적으로 찾음 인덱싱 기법 : 전처리를 통한 인덱싱( indexing )→빠른 검색 가능 Ex) ACCESSDATA사의FTK →대표적인 인덱싱 기법 dtSearch사용

정규

표현식 의 미 사용 예제

^ 문자열의 처음 ^aaa : aaa로 시작하는 문자열

$ 문자열의 끝 aaa& : aaa로 끝나는 문자열

. 하나의 문자와 매칭 .lue : alue, blue, clue ...

? 0 또는 1개 문자와 매칭 forensics? : forensic, forensics

* 0개 이상 문자와 매칭 *love : love, _love, __love

+ 1개 이상 문자와 매칭 digital_+for : digital_for, digital__for

< GREP 정규표현식문법( p.196) >

제 2절) 검색 기술 - [2] 해쉬 검색

※_{해쉬 검색이란?}

파일명 또는 파일의 해쉬 값을 이용해 저장 매체 내에서 특정 파일을 검색

이는 미리 알려진 파일을 포렌식 분석 대상에서 제외하거나 신속한 검색을 위해 활용

( 즉, 일치하는 해쉬값이 존재하면 조사대상에서 제외 ) 참조 데이터 세트 : 잘 알려진 파일들의 해쉬 값 모음

Ex) 미국의 NIST의NSRL프로젝트에서작성한 Reference Data Set, 고려대학교 정보보호연구원 디지털포렌식연구센터의 DF RDS

<DF RDS에서제공하는 5가지 기능>

1. 파일 단위 해쉬 검색 2. 다수 파일 해쉬 목록 검색 3. 해쉬 값 검색

4. REST 서비스를 사용한 해쉬 값 검색 5. DF RDS 해쉬 세트 다운로드

제 3절) 타임라인 분석

시간은 범죄 사실을 규명하기 위한 매우 중요한 정보 파일 시스템 상에 저장되는 파일의 시간 정보, 파일 내부의 메타데이터에 저장되는 시간 정보,

시스템 내 다양한 곳에 저장되어 있는 시간 정보를 이용해 타임라인( TimeLine ) 구축→시스템 사용자의 행위 추적

Log2TimeLine : 시스템에서 시간정보를 동반한 데이터를 종합적으로 분석하여 시간 흐름에 따른 데이터의 운용과정 및 변화된 내용을 효율적으로 확인할 수 있도록 개발된 도구 물론 정확한 정보 조사를 위해서는 직접 흔적이 위치한 곳을 정밀분석해야 하지만, 조사 대상의 정보를 시간 흐름에 따라 종합 재구성하기 위해서는 Log2TimeLine과같은 도구를 이용한 타임라인 분석은 필수적

< Encase 의타임라인보기기능>

< Log2TimeLine 수행결과>

제 4절) 시스템 사용 흔적 분석

※_{포렌식 아티팩트란?}

디지털 포렌식 조사에 도움이 되는 정보를 포함하고 있는 운영체제의 사용 흔적들

Ex) 윈도우 시스템 아티팩트 : 웹 브라우저 사용흔적, 이벤트 로그, 프리페치, 바로가기, 점프리스트, 복원 지점, 휴지통 정보파일 등등

< 시스템 아티팩트의 분류 >

시스템 및 사용자 정보 프로그램 설치 및 실행 흔적 외장장치 연결 흔적 웹, 네트워크 연결 흔적

시스템의종류에따라 아티팩트의유형달라짐 시스템의실제사용자파악 조사방향정확히수립가능 우선적으로획득할필요있음

특정프로그램사용의 증거, 악성코드의실행여부, 최초유입

지점과확산정보파악가능

운영체제는외장장치연결에 관한기본적인정보관리 외장장치의연결흔적이있다면, 해당장치를통한정보유출가능 성존재, 장치를악성코드유입

지점으로추측가능

악성코드의유입이나정보유출 경로로의심가능하기때문에

정밀한조사가필요한영역 용의자의최근관심사파악, 악성코드유포지탐색에유용

제 5절) 스마트폰 사용 흔적 분석

스마트폰을 조사할 때는 운영체제가 생성하는 여러 가지 시스템 로그 데이터와 사용자가 사용하는 애플리케이션 의 로그 데이터를 분석해야 함

로그 데이터는 텍스트 형식 파일 또는 데이터베이스 파 일 포맷을 갖기 때문에 이를 면밀히 분석하는 것 중요

< 스마트폰 데이터 분류 >

파일 시스템 정보 기본 시스템 정보 애플리케이션 사용 정보 멀티미디어 데이터 정보 스마트폰의 주요 수집 대상 : 플래시 메모리 이미지,

이미지와 이미지 파일 내부에서 추출한 시스템 및 애플리 케이션 로그 파일, 멀티미디어 데이터

단, 이미징이 불가능한 경우에는 개별적으로 추출된 시스템 및 애플리케이션 로그 파일. 멀티미디어 데이터가 주요 수집 대상에 해당

스마트폰파일시스템은플래시 메모리이미지파일을통해분석

파일시스템의생성시간, 실제플래시메모리내부에존재 하는모든폴더와파일의목록과

메타데이터들확인가능

텍스트형태의로그파일로존재 스마트폰하드웨어, 소프트웨어

정보, 와이파이정보, 디바이스 초기화흔적확인가능

사진, 동영상, 음성녹음파일의미 사진은Exif데이터가포함되어있어

도구를이용해정밀분석필요 메타데이터에사용된프로그램의 시그니처정보를활용해데이터의

조작, 변조여부확인가능 SQLite 데이터베이스파일을

이용해사용자데이터저장 이를분석함으로써사용자의

타임라인분석수행가능 XML, Plist파일을이용해 사용자의설정정보저장

제 6절) 안티 포렌식 기술과 대응

※안티 포렌식이란?

포렌식 기술에 대응하여 자신에게 불리하게 작용할 가능성이 있는 증거물을 차단하려는 일련의 활동 Ex) 데이터 위조, 변조, 삭제, 암호화, 은닉 등등

< 안티 포렌식 기술 >

데이터 완전 삭제 데이터 은닉 데이터 암호화

악의적인사용자가가장일반적으로수행하는기술 운영체제에서제공하는데이터삭제기능을이용하는경우,

미할당영역에데이터가남아있기때문에복구가능 완전삭제소프트웨어를사용하는경우, 미할당영역에데이터가남아있지않으므로

논리적으로데이터복구불가능

타인이해당데이터를열람할수없도록 하기위해사용하는기술

복호화키를알고있는경우, 쉽게해독가능 의도적으로복호화키를숨기는경우가많아

조사에어려움을겪음 데이터의안전한보관이나은밀하게

데이터를전달하기위해사용하는기술 주로사용하지않는영역을이용하거나

스테가노그래피기법이용

< 안티 포렌식 대응 기술 >

완전 삭제 도구 패스워드 검색 심층 암호 분석 파일 내부의

사용 흔적 조사 시간 정보 분석

완전삭제도구를사용하여 데이터를삭제한경우, 데이터복구는불가능 하지만그흔적이있다면

의도적인증거인멸이 시도되었음을추정가능

사건과관련된중요한데이터는 암호화되어있을확률이높음

패스워드검색방법은 사회공학기법, 사전공격,

전수조사등이있음

파일시스템상에저장되는 시간정보는변조가용이하나, 응용프로그램에의해파일내부에

저장되는시간정보는 해당파일의저장형식을알지

못하면변경하기어려움

→조사에서중요하게활용 멀티미디어파일에서의심층암호분석은,

이미지, 동영상등의파일에은닉된데이 터를탐지하는기술의미 문서파일에서의심층암호분석은, MS Office, 한글등의파일에은닉된데이

터를탐지하는기술의미

제 6절) 안티 포렌식 기술과 대응

제 7절) 기타 분석 기술

※일관성 분석이란?

시간의 연속성을 이용한 분석 방법

‘ 어떤 결과가 발생하려면 반드시 그보다 앞서서 원인이 존재해야 한다. ’ 는 사실을 기반

대부분의 디지털 데이터에는 시간 정보가 저장되므로 이를 이용

단, 표준 시간대가 다른 경우 또는 윤년 등에 의해 시간의 불연속이 발생하는 경우가 존재할 수 있으므로 주의해야 함

※연관 관계 분석이란?

서로 다른 이벤트 사이의 연관 관계를 밝히는 분석 방법

Ex) A, B 이벤트가 함께 발생했을 때만 C 이벤트가 일어난다고 가 정한다면, A, B, C 이벤트 각각을 기준으로 분석하는 경우에는 서 로 관계가 없을 수도 있다.

통계, 데이터 마이닝 등의 기법을 사용해 둘 이상의 서로 다른 이 벤트 사이의 관계를 밝히는 것

Quiz Time

1번. 검색 기술 개념

사건과 관련된 키워드를 선정하여 저장 매체를 대상으로 검색하는 방법 :

파일명 또는 파일의 해쉬 값을 이용해 저장 매체 내에서 특정 파일을 검색하는 방법 :

2번. 안티 포렌식 기술 개념

데이터의 안전한 보관이나 은밀하게 데이터를 전달하기 위해 사용하는 기술 : 타인이 해당 데이터를 열람할 수 없도록 하기 위해 사용하는 기술 :

3번. 파일 복구 응용

악의적 사용자는 삭제된 파일의 복구를 불가능하게 하기 위해 wiping 기술을 사용하지만, 이는 미할당 영역에 남아있어 충분히 복구가 가능하다 ( O / X )

4번. 안티 포렌식 대응 기술 심화

안티 포렌식 대응 기술에 대한 설명으로 옳지 않은 것을 고르시오.

①완전 삭제 도구를 사용하여 데이터를 삭제한 경우, 데이터의 복구는 불가능하다.

②패스워드 검색 방법에는 사회공학 기법, 사전 공격, 전수 조사가 있다.

③응용 프로그램에 의해 파일 내부에 저장되는 시간 정보는 변조가 용이하다.

④멀티미디어 파일에서의 심증암호분석은 이미지, 동영상 등의 파일에 은닉된 데이터를 탐지하는 기술이다.

1번. 검색 기술 개념

사건과 관련된 키워드를 선정하여 저장 매체를 대상으로 검색하는 방법 : 키워드 검색

파일명 또는 파일의 해쉬 값을 이용해 저장 매체 내에서 특정 파일을 검색하는 방법 : 해쉬 검색

2번. 안티 포렌식 기술 개념

데이터의 안전한 보관이나 은밀하게 데이터를 전달하기 위해 사용하는 기술 : 데이터 은닉 타인이 해당 데이터를 열람할 수 없도록 하기 위해 사용하는 기술 : 데이터 암호화

3번. 파일 복구 응용

악의적 사용자는 삭제된 파일의 복구를 불가능하게 하기 위해 wiping 기술을 사용하지만, 이는 미할당 영역에 남아있어 충분히 복구가 가능하다 ( O / X )

4번. 안티 포렌식 대응 기술 심화

안티 포렌식 대응 기술에 대한 설명으로 옳지 않은 것을 고르시오.

①완전 삭제 도구를 사용하여 데이터를 삭제한 경우, 데이터의 복구는 불가능하다.

②패스워드 검색 방법에는 사회공학 기법, 사전 공격, 전수 조사가 있다.

③응용 프로그램에 의해 파일 내부에 저장되는 시간 정보는 변조가 용이하다.

④멀티미디어 파일에서의 심증암호분석은 이미지, 동영상 등의 파일에 은닉된 데이터를 탐지하는 기술이다.

Answer Time

THANK YOU