디지털포렌식 개론 정리

디스크 브라우징

증거 분석의 일차 목표는 자료를 검색하여 사건의 단서를 찾는 것입니다. 

저장 매체 또는 하드 디스크 이미지의 내부 구조와 파일 시스템을 확인하고, 내부에 존재하는 파일들에 대응되는 응용 프로그램의 구동 없이 쉽고 빠르게 분석할수 있는 기법

 

데이터 뷰잉

디지털 증거를 효율적으로 분석하기 위해서는 데이터를 가시적으로 확인 할 수 있어야 합니다. 

이와 같이 포맷이 있는 디지털 데이터의 구조를 파악해서 가시적으로 출력하는 것을 데이터 뷰잉이라고 합니다.

 

타임라인 분석

디지털 데이터에서 시간은 범죄 사실을 규명하기 위해 매우 중요한 정보입니다.

파일 시스템 상에 저장되는 파일을 시간 정보, 파일 내부의 메타데이터에 저장되는 시간 정보 등 다양한 곳에 저장되어 있는 시간 정보를 이용해 타임라인을 구성함으로써 시스템 사용자의 행위를 추적할 수 있습니다. 

 

RegMon

실시간으로 레지스트리를 감시할 수 있도록 마이크로소프트사에서 개발하여 배포한 도구로서, 프로세스 익스플로러 유틸리티의 일부 이다. 

 

Regripper는 Harlan Carvey에서 개발한 레지스트리 분석 도구로 오픈소스로 제공된다. 

 

index.dat 파일은 사용자가 방문한 모든 웹사이트에 대한 URL, 웹페이지 목록 등이 기록된다.  게다가 Outlook이나 Outlook Express를 통해 주고 받은 이메일에 대한 정보도 기록된다. 기본적으로 시스템에 의해 보호된 파일이기 때문에 윈도우즈 운영체제의 기본모드에서는 확인할 수 없다. 폴더옵션에서 ‘보호된 운영체제 파일 숨기기’ 모드를 체크 해제하게 되면 확인할 수 있다.

마이크로소프트에 의하면 이 파일의 목적은 한번 방문한 페이지를 재 방문할 경우 Internet Explorer 상에서 로딩 속도를 빠르게 하기 위한 캐시 역할을 한다고 말하고 있다. 인터넷 옵션을 통해 히스토리, 임시파일, 쿠키 등을 삭제할 경우 해당 내용을 가지고 있는 텍스트파일들을 사라지지만 index.dat 파일은 초기화만 된다. 만약 캐시를 원하지 않을 경우에는 별도의 index.dat 파일을 삭제하는 도구를 사용해야 한다.
index.dat 파일은 쿠키, 히스토리, 인터넷임시파일 폴더의 정보가 기록되어 있기 때문에 사용자의 인터넷 사용 패턴이나 접속 기록 등을 확인할 수 있다. 만약, 샘플이 많이 주어진다면 데이터마이닝을 통해 의미있는 정보를 도출할 수도 있을 것이다. 따라서, 이러한 정보들이 사용 패턴을 이용해 공격을 사용하는 등의 악의적인 목적으로도 사용될 수 있을 것이다.

 

index.dat의 내용을 확인하기 위한 도구는 인터넷에 검색을 하면 쉽게 찾을 수 있다.

• Systenance Software – Index.dat Analyzer
• WinSpy – Index.data Viewer
• Index.dat Suite

Index.dat Suite - manage index.dat files

 

증거물 목록에 기록해야 할 것

1.증거물 번호

2.증거물 제품 일련번호

3.증거물의 제조사

4.증거물을 압수한 장소의 소유자

 

RFC3227 Guidlines for Evidence Collection and Archiving은 포렌식 증거와 수집ㅇ 초점이 맞추어져 있다.