222

디스크 브라우징 증거 분석의 일차 목표는 자료를 검색하여 사건의 단서를 찾는 것입니다. 저장 매체 또는 하드 디스크 이미지의 내부 구조와 파일 시스템을 확인하고, 내부에 존재하는 파일들에 대응되는 응용 프로그램의 구동 없이 쉽고 빠르게 분석할수 있는 기법 데이터 뷰잉 디지털 증거를 효율적으로 분석하기 위해서는 데이터를 가시적으로 확인 할 수 있어야 합니다. 이와 같이 포맷이 있는 디지털 데이터의 구조를 파악해서 가시적으로 출력하는 것을 데이터 뷰잉이라고 합니다. 타임라인 분석 디지털 데이터에서 시간은 범죄 사실을 규명하기 위해 매우 중요한 정보입니다. 파일 시스템 상에 저장되는 파일을 시간 정보, 파일 내부의 메타데이터에 저장되는 시간 정보 등 다양한 곳에 저장되어 있는 시간 정보를 이용해 타임라인을 구..

file system check의 약자로 리눅스 파일시스템에서 파일을 체크하고 수리하는 명령어이다. 도스의 chkdsk나 scandisk 명령과 유사하다.

전자적 증거의 진정성 - 원본성, 동일성, 신뢰성 특성 - 매체 독립성, 비가시성/비가독성, 변경/삭제의 용이성, 대용량성, 전문성, N/W 관련성

기본원칙 : 정당성, 무결성, 연계보관성, 재현성, 신속성 유용성: 로그기록감시, 데이터 복구, 데이터의 추출 및 파기, 법적책임 이행 태세 확립 수행과정 증거의 획득 -> 증거분석 -> 증거보관 -> 증거제출과 증거조사 -> 제3자 검증

비트벡터(Bit Vector)기법 - 파일 시스템 내 모든 데이터 블록들에 대해 각 디스크 블록들이 현재 사용 중인지 아닌지를 표시하는 1비트의 플래그를 둔다. 연결리스트(Linked List)기법 - 디스크 상의 모든 빈 블록들을 연결 리스트로 연결하고 이중에서 첫 번째 빈 블록에 대한 포인터만을 커널에서 유지하도록 한다. 그룹화(Grouping)에 의한 기법 - 각 빈 블록에서 n개의 빈 블록 번호들을 유지하도록 한다. 이중 n-1개의 번호는 빈 블록들의 번호이며 나머지 하자의 번호는 다음번 n개 빈 블록 번호를 갖는 블록의 번호이다.

우리가 사용할 수 있는 가상 RAM 컴퓨터에 꼽혀 있는 RAM이 꽉 차서 더이상 사용할 수 없을 때 하드디스크(SSD)를 RAM처럼 사용할 수 있게 만들어준다. https://m.blog.naver.com/PostView.nhn?blogId=oiktoail&logNo=220582241932&proxyReferer=https%3A%2F%2Fwww.google.com%2F Pagefile.sys 파일이란? Pagefile.sys --- 기억 장치에서 데이터 램 확장용으로 사용된 하드 디스크의 지정 영역. 하드 디스크로부... blog.naver.com

가상 메모리를 실 메모리로 변환하는 시간을 줄이기 위해 일정 개수의 변환된 주소 값을 저장하여 놓는 공간 변환 색인 버퍼(Translation Lookaside Buffer, TLB)는 가상 메모리 주소를 물리적인 주소로 변환하는 속도를 높이기 위해 사용되는 캐시약칭은 TLB이다.[1] TLB는 최근에 일어난 가상 메모리 주소와 물리 주소의 변환 테이블을 저장하기 때문에 일종의 주소 변환 캐시라고 할 수 있다. TLB는 CPU와 CPU 캐시 사이, CPU 캐시와 메인 메모리 사이 등 여러가지 다른 레벨의 캐시들 사이에서 주소를 변환하는데 사용할 수 있다. 현재 모든 데스크탑 및 서버용 프로세서는 하나 또는 그 이상의 TLB를 메모리 관리 하드웨어에 가지고 있다. 페이지 단위나 세그먼트 단위로 처리하는 가..

-디스크 브라우징(Disk Browsing) 저장매체 또는 하드디스크 이미지의 내부 구조와 파일 시스템을 확인하고, 파일시스템 내부에 존재하는 파일에 대응되는 응용 프로그램의 구동 없이 쉽고 빠르게 분석할 수 있도록 하는 기법을 디스크 브라우징을 이용할 경우, 파일시스템의 구조 및 메타데이터를 출력하고, 각 파일과 관련된 정보들(Mac Time, 해시 값, 시그니처, 저장 위치 등)을 쉽게 파알할 수 있다. 또한 파일 확장자 변경 여부 및 파일 암호화 여부 등을 확인할 수 있으며, 복구 가능한 삭제 파일을 찾거나 비할당 영역에 있는 파일 파편들을 복구 등을 수행할 수 있다. -데이터 뷰잉(Data Viewing) 파일 포맷이 있는 데이터를 가시적으로 확힌할 수 있도록, 디지털 데이터의 구조를 파악해서 시..

디스크 이미징은 원본 저장매체의 사본을 만드는 것을 가리킨다. Disk to Disk : Hard Copy 또는 디스크 복제 Disk to File : 원본 저장매체를 *.DD나 *.EWF(*.E01)와 같은 특정한 포맷의 이미지 파일로 변환하여 저장하는 것 File to File : Bit Stream Copy로 이루어 지지 않고 논리적 파일 복사를 수행 이미징 하드웨어 Media Imager GM4 Tableau Forensic Imager TX1 DIBS RAID Super Imager Falcon 이미징 소프트웨어 SafeBack, FTK(Forensic Toolkit), EnCase, ProDiscover 출처 : 디지털포렌식 이론, (사)한국포렌식학회

1.공개용 디지털포렌식 도구 - 이미지 획득(Image Acquisition)을 위한 도구 FTK Imager EnCase Forensic Imager - MFT분석도구 MFT View - 통합분석도구 The Sleuth Kit(Linux) Autopsy(Windows) -레지스트리 분석도구 Regshot -이미지 마운트 도구 Arsenal Image Mounter -메모리 덤프 및 분석 도구 Volatility -Windows Sysinternals 웹 사이트를 통해 윈도우 시스템의 문제를 해결하고 , 시스템 관리 운영 및 모니터링에 활용할 수 있는 다양한 도구를 제공. 무료 윈도우 유틸리티 도구 셋 TCP View - 모든 네트워크 구조를 보여줌 Autoruns - 윈도우가 시작 직후 실행되는 프로그..