222

기본원칙 : 정당성, 무결성, 연계보관성, 재현성, 신속성 유용성: 로그기록감시, 데이터 복구, 데이터의 추출 및 파기, 법적책임 이행 태세 확립 수행과정 증거의 획득 -> 증거분석 -> 증거보관 -> 증거제출과 증거조사 -> 제3자 검증

비트벡터(Bit Vector)기법 - 파일 시스템 내 모든 데이터 블록들에 대해 각 디스크 블록들이 현재 사용 중인지 아닌지를 표시하는 1비트의 플래그를 둔다. 연결리스트(Linked List)기법 - 디스크 상의 모든 빈 블록들을 연결 리스트로 연결하고 이중에서 첫 번째 빈 블록에 대한 포인터만을 커널에서 유지하도록 한다. 그룹화(Grouping)에 의한 기법 - 각 빈 블록에서 n개의 빈 블록 번호들을 유지하도록 한다. 이중 n-1개의 번호는 빈 블록들의 번호이며 나머지 하자의 번호는 다음번 n개 빈 블록 번호를 갖는 블록의 번호이다.

우리가 사용할 수 있는 가상 RAM 컴퓨터에 꼽혀 있는 RAM이 꽉 차서 더이상 사용할 수 없을 때 하드디스크(SSD)를 RAM처럼 사용할 수 있게 만들어준다. https://m.blog.naver.com/PostView.nhn?blogId=oiktoail&logNo=220582241932&proxyReferer=https%3A%2F%2Fwww.google.com%2F Pagefile.sys 파일이란? Pagefile.sys --- 기억 장치에서 데이터 램 확장용으로 사용된 하드 디스크의 지정 영역. 하드 디스크로부... blog.naver.com

가상 메모리를 실 메모리로 변환하는 시간을 줄이기 위해 일정 개수의 변환된 주소 값을 저장하여 놓는 공간 변환 색인 버퍼(Translation Lookaside Buffer, TLB)는 가상 메모리 주소를 물리적인 주소로 변환하는 속도를 높이기 위해 사용되는 캐시약칭은 TLB이다.[1] TLB는 최근에 일어난 가상 메모리 주소와 물리 주소의 변환 테이블을 저장하기 때문에 일종의 주소 변환 캐시라고 할 수 있다. TLB는 CPU와 CPU 캐시 사이, CPU 캐시와 메인 메모리 사이 등 여러가지 다른 레벨의 캐시들 사이에서 주소를 변환하는데 사용할 수 있다. 현재 모든 데스크탑 및 서버용 프로세서는 하나 또는 그 이상의 TLB를 메모리 관리 하드웨어에 가지고 있다. 페이지 단위나 세그먼트 단위로 처리하는 가..

ls -al setuid 프로세스가 실행되는 동안에는 소유자의 권한으로 실행되는 것 vi race_cond.c 현재 계정은 두리 99 ./race_cond /tmp/tmp.dat "leeduri" root 들어가 ls -al /tmp/tmp.dat cat /tmp/tmp.dat race_cond -> rwsrwxr_x, setuid , 실행: 두리99(uid:500, gid:508channel) 실행을 하게 되면 ruid는 실행시킨 사용자의 uid , euid: setuid가 설정되어 있어서 root , egid: 설정안되서 euid 그냥 가져옴 프로세스 실행동안에 자원접근할때 권한판단의 기준은 euid와 egid /tmp/tmp.dat 소유자는 euid에서 가져와서 root, 소유그룹 508(chann..

-디스크 브라우징(Disk Browsing) 저장매체 또는 하드디스크 이미지의 내부 구조와 파일 시스템을 확인하고, 파일시스템 내부에 존재하는 파일에 대응되는 응용 프로그램의 구동 없이 쉽고 빠르게 분석할 수 있도록 하는 기법을 디스크 브라우징을 이용할 경우, 파일시스템의 구조 및 메타데이터를 출력하고, 각 파일과 관련된 정보들(Mac Time, 해시 값, 시그니처, 저장 위치 등)을 쉽게 파알할 수 있다. 또한 파일 확장자 변경 여부 및 파일 암호화 여부 등을 확인할 수 있으며, 복구 가능한 삭제 파일을 찾거나 비할당 영역에 있는 파일 파편들을 복구 등을 수행할 수 있다. -데이터 뷰잉(Data Viewing) 파일 포맷이 있는 데이터를 가시적으로 확힌할 수 있도록, 디지털 데이터의 구조를 파악해서 시..

디스크 이미징은 원본 저장매체의 사본을 만드는 것을 가리킨다. Disk to Disk : Hard Copy 또는 디스크 복제 Disk to File : 원본 저장매체를 *.DD나 *.EWF(*.E01)와 같은 특정한 포맷의 이미지 파일로 변환하여 저장하는 것 File to File : Bit Stream Copy로 이루어 지지 않고 논리적 파일 복사를 수행 이미징 하드웨어 Media Imager GM4 Tableau Forensic Imager TX1 DIBS RAID Super Imager Falcon 이미징 소프트웨어 SafeBack, FTK(Forensic Toolkit), EnCase, ProDiscover 출처 : 디지털포렌식 이론, (사)한국포렌식학회

1.공개용 디지털포렌식 도구 - 이미지 획득(Image Acquisition)을 위한 도구 FTK Imager EnCase Forensic Imager - MFT분석도구 MFT View - 통합분석도구 The Sleuth Kit(Linux) Autopsy(Windows) -레지스트리 분석도구 Regshot -이미지 마운트 도구 Arsenal Image Mounter -메모리 덤프 및 분석 도구 Volatility -Windows Sysinternals 웹 사이트를 통해 윈도우 시스템의 문제를 해결하고 , 시스템 관리 운영 및 모니터링에 활용할 수 있는 다양한 도구를 제공. 무료 윈도우 유틸리티 도구 셋 TCP View - 모든 네트워크 구조를 보여줌 Autoruns - 윈도우가 시작 직후 실행되는 프로그..

1.우리나라 유용성, 포괄성, 정확성, 동일성, 입증가능, 읽기전용, 건전도 검사 2.NIST(National Institute of Standard and Technology)에서 컴퓨터 포렌식 도구 시험"CFTT"(Computer Forensic Tool Testing)을 실시하여 디지털 포렌식 도구의 신뢰성을 검증 CFTT에서는 국가 표준 참조 라이브러리 ,NSRL,National Softward Reference Library)을 제공하고 있는데 전 세계 약 15,000개 이상의 소프트웨어(컴퓨터 소프트웨어 및 모바일 소프트웨어 포함)에 포함된 파일ㅇㄹ 수집해, 각 파일의 제품 정보와 해시 값을 데이터베이스 형태로 목록화한 데이터 세트이다.

마약 수사 도중에 압수수색 영장을 받아 피의자의 컴퓨터를 뒤지던 중 아동 포르노 동영상을 발견했다. 당신이 수사관이라면 이걸 못 본 척 하고 그냥 넘어갈까. 미국에는 이와 관련한 유명한 판례가 있다. 영장에 적시돼 있지 않았더라도 수사 도중에 우연히 발견한 범죄의 증거는 유죄 입증에 활용될 수 있다는 게 통상적인 플레인뷰 원칙이다. 그러나 2009년 미국 법원은 디지털 증거의 경우 이 플레인뷰 원칙을 적용해서는 안된다는 판례를 만들었다. 출처 : 미디어오늘(http://www.mediatoday.co.kr)