7장
디지털 증거 분석 기술
김성연
파일 시스템 : 파일을 저장하고 관리하는 방식
Ex ) 윈도우 운영체제 – FAT, NTFS 파일 시스템
파일 복구
1절
할당 영역 파일 A 미할당 영역
할당 영역 파일 A 미할당 영역
파일 삭제 전
파일 삭제 후
미할당 영역을 추출하고 데이터가 존재하면 파일 포맷을 확인한 뒤, 새로운 파일로 생성하는 방식으로 동작
완전 삭제(wiping) 기술: 단순히 삭제 표시를 하는게 아닌 해당 데이터를 모두 삭제하는 기술 -> 증거 인멸 시도를 파악할 수 있음
파일 복구
1절
키워드 검색 : 사건과 관련된 키워드를 선정해 검색하는 것 -> 텍스트 인코딩, 대소문자등의 사항을 고려해야 함
검색 기술
2절
GREP 정규 표현식 문법
※grep : 유닉스 계열의 운영체제에서 검색을 위해 사용하는 명령어
g r e p . * [ 0 - 9 ] { 2 } [ 0 1 ] { 1 } [ 0 - 9 ] { 1 } [ 0 - 3 ] { 1 } [ 0 - 9 ] { 1 } - [ 0 - 9 ] { 7 }
검색 기술
2절
유경 870188-1234567 성연 000904-4158811 수현 882110-2839485
성연 000904-4158811
정규 표현식 내용 예제
. 하나의 문자 매칭 .lue : alue, blue, clue
* 바로 이전 문자의 빈도가 0 이상인 경우 매칭
[A-C] A부터 C 중에 하나의 문자 매칭 [A-C] : A, B, C X{M} 문자 X를 M번 반복 h{3} : hhh, hhhh,hhhhh [ABC] A,B,C 중의 하나의 문자 매칭 [ABC] : A, B, C
해쉬 검색 : 파일명 또는 파일의 해쉬 값을 이용하여 저장 매체 내에서 특정 파일을 검색하는 것 참조 데이터 세트 : 잘 알려진 파일들의 해쉬 값을 모아 놓은 것
미리 알려진 파일을 분석 대상에서 제외하거나 신속히 검색하기 위해 활용 됨.
다양한 사이트에서 확인이 가능함
검색 기술
2절
타임라인 분석
3절
파일 시스템 상에 저장되는 파일의 시간 정보, 파일 내부의 메타 데이터에 저장되는 시간 정보 등 -> 시스템 사용자의 행위 추적
Encase 의 타임라인 보기 기능
타임라인 분석
3절
Log2TimeLine
시스템에서 시간정보를 동반한 데이터를 종합적으로 분석하여 시간흐름에 따른 데이터의 운용과정 및 변화된 내용을 분석할 수 있도록
개발된 도구
시스템 아티팩트 : 운영체제의 사용 흔적들
Ex) 윈도우 – 웹 브라우저 사용흔적, 이벤트 로그, 점프 리스트, 복원 지점, 휴지통 정보 파일
시스템 사용 흔적 분석
4절
사용 흔적 윈도우 파일
시스템 및 사용자 정보 레지스트리 (시스템 및 사용자 정보)
이벤트 로그 (로그온, 로그오프 정보)
프로그램 설치 및 실행 흔적 레지스트리, 이벤트 로그, 프리패치, 아이콘 캐시 등
외장장치 연결 흔적 레지스트리, 이벤트 로그, 바로가기 파일
웹 / 네트워크 연결 흔적
스마트폰의 운영체제 : 안드로이드 / iOS 로 분류가능
시스템과 애플리케이션의 구동, 사용흔적 등을 로그로 저장 -> 텍스트 파일 형식이나 데이터베이스 파일 포멧을 가짐
파일 시스템 정보, 기본 시스템 정보, 애플리케이션 사용 정보, 멀티 미디어 정보
스마트폰 사용 흔적 분석
5절
파일 시스템 정보는 플래시 메모리 이미지 파일을 통해 분석 안드로이드: Ext4 파일 시스템
아이폰 (iOS) : HFS+ 파일 시스템
파일 시스템 분석을 통해 파일 시스템의 생성시간 과
실제 플래시 메모리 내부에 존재하는 모든 폴더와 파일의 목록과 메타 데이터를 확인할 수 있음.
미할당 영역을 추출하여 삭제된 데이터의 복구도 수행가능 Ext4의 경우, 삭제된 폴더와 파일 목록도 확인 가능
스마트폰 사용 흔적 분석
5절
기본 시스템 정보는 주로 텍스트 형태의 로그파일로 존재 H/W, S/W 정보를 확인할 수 있음
안드로이드는 접속한 와이파이 정보, 디바이스 초기화를 시행한 흔적도 확인가능함
애플리케이션 사용정보는 주로 SQLite 데이터 베이스 파일을 사용해 사용자 데이터를 저장하고, XML. Plist 파일을 사용해 사용자의 설정정보를 저장함.
Ex) 통화기록, 문자, 주소록, 일정, 웹브라우저, 직접 다운로드 받은 앱
멀티미디어 정보는 사진, 동영상, 음성녹음 등의 파일 내/외부 SD 카드 영역에 저장됨
스마트폰 사용 흔적 분석
5절
안티포렌식 (Anti Forensics) : 포렌식 기술에 대응하여 자신에게 불리하게 작용할 가능성이 있는 증거물을 차단하려는 일련의 활동
데이터 완전 삭제
운영체제에서 제공하는 기능 -> 미할당 역역에 데이터를 그대로 남겨 놓는 경우가 많음 완전 삭제 소프트웨어 -> 미할당 영역의 데이터까지 덮어씀
안티 포렌식 기술과 대응
6절
패스워드 검색
사회공학기법, 사전공격, 전수조사 등이 있음
최근에는 패스워드 검색 속도를 높이기 위해 GPU나 셀 시스템을 사용하려는 시도가 있음
심층 암호분석
멀티미디어 파일 분석 : 이미지, 동영상 등의 파일에 은닉된 데이터를 탐지하는 기술 문서 파일 분석 : MS Office, 한글 등의 파일에 은닉된 데이터를 탐지하는 기술