학사 나부랭이

휘발성 정보 수집을 위해서 윈도우에서 기본적으로 지원하는 명령어나 프로그램을 이용하기도 하고 인터넷에서 검증된 라이브 포렌식 프로그램을 사용해 수집하기도 하는데 이런 툴들을 사용하기 위해서는 당 시스템의 관리자 권한이 필요해요. 관리자 권한을 얻는 방법으로는 단순히 로그오프 후 관리자로 로그인, Buffer OverFlow 등이 있는데 전자는 로그오프 시 해당 세션의 휘발성 정보들이 사라질 수 있고 후자는 다음과 같은 이유가 있어서 사용할 수 없어요. 후자의 예로서 윈도우에서는 Runas라는 명령어로 일시적인 관리자 권한을 얻을 수 있어요. 이를 리눅스의 su처럼 해당 세션은 유지시키며 관리자 권한도 계속 유지하는 방법은 없진 않지만 시스템에 어떤 영향을 미칠지 모르는 프로그램들이 대부분이라 사용하지 않..

안녕하세요. 디지털 포렌식에 대해 발표할 인제대학교 돗가비 홍세웅입니다. 오늘 발표는 먼저 포렌식이 무엇인가? 그리고 포렌식의 과정, 거기서 쓰이는 복사기법과 수집기법 그리고 QNA로 구성이 되어 있습니다. 그럼 포렌식이 무엇일까요? 포렌식은 법적인 효력을 가지는, 그러니까 재판에서 사용될 혈흔, 지문, DNA같은 증거를 수집, 보존, 분석하기 위한 응용과학 분야를 칭하는 용어예요. 그럼 당연히 디지털 포렌식은 디지털적인 증거를 수집, 보존, 분석하는 작업을 칭하겠죠? 보통은 삭제된 파일 등을 복구하는 걸 많이들 생각하시는데 사진처럼 GPS 기록을 따오거나 카톡 메시지, 문서 등을 들고 오는 것도 디지털 포렌식의 일종이에요. 이제부터 편의성을 위해 디지털 포렌식을 그냥 포렌식이라고 칭할게요. 우리나라에서..

Live Forensic (Live Response) 시스템의 전원이 켜져 있는 상태에서 Live Data(활성 || 휘발성 데이터, 메인 메모리의 데이터 등)를 수집하는 행위이며 포렌식 조사 과정 중 하나이다. 이는 구동되고 있는 시스템에서 수집 가능한 모든 정보의 수집, 분석, 증거를 기반으로 추측을 객관화하는 작업까지 포함한다. 라이브 포렌식의 중요성 1. 전원을 종료하면 사라지는 활성 데이터를 얻을 수 있는데 이 활성 데이터에는 아래와 같은 데이터가 속해있다. 실행 중인 프로세스 열려있는 파일 목록 네트워크 연결 정보 현재 전송 중인 패킷 현재 로그인 중인 사용자 클립보드에 저장된 데이터 복호화된 데이터 임시파일 기타 2. 수집한 활성 데이터를 우선적으로 평가함으로 시스템의 대략적인 상태를 파악할..

데이터를 수집, 이동, 보관, 분석 등의 과정에서 원본의 변질을 막기 위해 다른 저장매체에 원본과 같은, 혹은 어떤 처리를 한 데이터를 저장하는데 이 작업은 아래와 같은 세 가지 방식이 있다. 저장매체 복사 저장매체 복제 저장매체 이미징 획득 대상 파일, 디렉토리 원본의 모든 물리적 섹터 원본의 모든 물리적 섹터 획득 결과 파일, 디렉토리 사본 저장매체 이미지 파일 동작 방식 원본 읽기, 사본에 쓰기 비트스트림 복제 비트스트림 이미징 데이터 손실 여부 데이터 손실 발생 모든 원본 데이터 획득 모든 원본 데이터 획득 데이터 복구 여부 복구 불가능 삭제된 데이터 복구 가능 삭제된 데이터 복구 가능 모든 물리적 섹터: 탐색기로 확인할 수 있는 파일/디렉터리 구조 외의 슬랙 공간(물리적 구조와 논리적 구조의 차..

포렌식이란? 법적인 효력을 가지는, 범죄수사 및 민형사 소송 등 법정에서 사용되는 증거(혈흔, DNA, 지문 등)를 수집, 보존, 분석을 위한 응용과학 분야를 통칭하는 용어이다. 여기서 디지털 포렌식은 디지털적인 증거 등을 사법기관에 제출하기 위해 데이터 수집, 분석, 보고서 작성 등 일련의 작업(처리)을 칭한다. 사이버 범죄에서 범죄자가 남긴 다양한 디지털 증거를 유용하게 처리하는게 추적 및 조사의 핵심요소이다. 로카르의 법칙 접촉하는 두 개체는 서로의 흔적을 주고받는다. 즉, 어떤 작업을 했으면 그에 대한 흔적은 반드시 현장에 남는다. 해킹과 차이점 해킹은 불법적으로 권한 등을 얻어 정보를 탈취해 악용하는 것이고 디지털 포렌식은 영장이나 소유주의 동의 하에 증거 데이터를 수집 및 분석하는 작업이다. ..