디지털 포렌식 용어

데이터 크기의 표현

Bit < Byte < Kilobyte < Megabyte < Gigabyte < Terabyte < Petabyte

1 Byte = 8bits

1Kilobyte = 1024 Bytes

 

처음에 bit에서 byte가는 것만 8로 묶이고 그 뒤로는 전부 1024단위로 묶여 단위가 커진다.

 

무결성

무결성이란?

최초 증거가 저장된 매체에서 법정에 제출되기까지 변경이나 훼손이 없어야한다.

 

무결성이 왜 중요한가?

무결성이 깨지면 증거능력이 없어진다.

 

무결성을 어떻게 입증하는가?

1. Hash값의 비교

2. 증거 수집 및 봉인 등의 단계에서의 적법성 증명

 

포렌식 과정에서 무결성을 깨지지 않게 하려면?

→ 쓰기 방지 해야된다.

 

쓰기방지란?

원본매체를 읽기만 가능하고 쓰기는 불가능하게하는 것

 

 

파일시스템

파일시스템이란?

컴퓨터에서 파일이나 자료를 효율적으로 발견하고 접근할 수 있도록 보관하는 체제

 

윈도우의 파일 시스템

FAT, NTFS, exFAT 등

 

FAT, NTFS의 차이점

FAT의 한계: 파일 하나 및 볼륨의 용량 제한, 보안, 안정성

→ 극복하고자 NTFS 등장 

 

 

레지스트리

레지스트리란?

마이크로소프트 윈도우 운영 체제의 설정과 선택 항목을 담고 있는 데이터베이스

 

레지스트리로 얻을 수 있는 정보

- 윈도우 설치 정보, 계정정보

- 부팅 시 자동으로 실행되는 응용프로그램

- 최근 사용 파일, 실행 프로그램 등의 사용자 활동 내역

- 시스템에 사용한 하드웨어 정보

 

레지스트리 편집기 실행방법

- 윈도우 검색으로 레지스트리 편집기 or regedit

 

 

안티포렌식기법

안티포렌식이란?

디지털 포레식을 어렵게 하기 위해 하는 모든 행위

- 증거매체의 물리적 훼손

- 파일 삭제

- 확장자or시그니처헤더 변조

- 암호화

- 파티션의 MBR, BR 코드 변조

 

와이핑 &디가우징

- 저장매체를 복구 불가능하게 완전히 삭제하는 방법

- 일반적인 삭제, 포맷은 복구할 수 있는데...

와이핑	저장매체에 다른 데이터를 계속 덮어씌워 삭제된 파일이 복구 불가능하게 만듦
디가우징	하드디스크의 약점을 이용해 자기장에 노출시켜서 하드디스크를 아예 못쓰게 함

 

- 실제 소프트웨어 사용 기록 중, 'Wipe', 'Eraser' 등의 단어가 있는 프로그램의 설치 흔적이 있거나 한경우 증거 삭제를 의도했다고 볼 수도 있다.

 

 

진수

2진수: 디지털 데이터 표현하는 기본 수체계, 0과 1로 구성

16진수: 2진수를 4자리씩 묶어 표현 1byte는 16진수 두자리다

 

 

엔디안

엔디안이란?

데이터를 컴퓨터에 기록하는 방식

빅 엔디안	큰 단위부터 컴퓨터에 기록하는 방식으로 사람이 사용하는 것 처럼 앞에서 부터 쓰는 방식임
리틀 엔디안	작은 단위부터 컴퓨터에 기록하는 방식으로 인텔, AMD CPU같은 컴퓨터에서 주료 사용하는 것. 빅 엔디안과 방향이 반대다

 

16진수 '12 34 56 78' 을 

빅엔디안으로: 12 34 56 78

리틀엔디안으로: 78 56 34 12

 

 

물리&논리

물리: 하드웨어적인

논리: 가상의

ex) N GB의 하드디스크를 M GB씩 C:  E:로 나누어 사용한다.

→ N GB 하드디스크는 물리 드라이브, C드라이브와 E드라이브는 논리 드라이브다

 

 

예시로 파일을 하나 열어보면 크기와 디스크 할당 크기가 따로 존재한다.

 

크기는 해당 파일의 실제 용량으로 논리 용량을 의미하고

디스크 할당 크기는 해당 파일이 실제로 하드디스크에 저장되면서 얼만큼의 용량을 차지하는지를 의미하는 물리 용량이다.

 

 

이미징

이미징이란?

디지털 증거 분석을 위해 증거의 사본을 파일로 생성하는 것(복사와는 다르다..!)

복사	원본 매체의 논리적 데이터만을 사본매체에 복사
복제	원본저장매체의 모든 물리적인섹터를 그대로 복제
이미징	원본저장매체의 모든 물리적인섹터를 파일형태로 복제

 

복제하면 정확히 같은 디스크 위치로 가지만 복사를 하는건 논리적 데이터만 가져가는거라 어느위치로 가는 지는 모르는 것..

결국 이미징은 복제하는 것.(대신 파일 형태로)

 

 

섹터와 클러스터

섹터란?

저장매체에서 사용하는 최소한의 데이터 저장단위

일반적으로 섹터 당 512Bytes

마이크로소프트에서 제작한 OS는 섹터를 묶어 클러스터 단위로 지정해 저장

 

클러스터란?

운영체제에서 사용하는 데이터 저장의 최소단위로 몇 개의 섹터를 하나로 묶은 것 

단점: 파일 크기랑 클러스터 크기가 일치하지 않으면 버려지는 저장공간이 생긴다.

→ 그래서 논리 용량과 물리 용량이 다르다!!, 클러스터 단위로 파일을 저장하니까 실제 논리 용량보다 남아 도는것.

 

 

기록같은거..

로그란?

운영체제, 프로그램 등의 사용을 시간대별로 기록한 파일로 컴퓨터에 의해서 자동적으로 기록된다.

 

로그가 왜 중요한가?

사용자가 언제 어떤일을 했는지 확인이 가능하다.

 

M.A.C Time

Modify Time + Access Time + Creation Time

파일의 수정시간, 접근시간, 생성시간을나타내는 것(이름의 변경이나 파일의 이동 시간은 기록되지않음)

 

C-Time이 일반 적으로 제일 먼저이지만 가끔 그렇지 않은 경우가 있음. 

- 복사한 파일

- 인터넷에서 다운 받은 파일

- zip파일에서 압축을 해제해 생긴 파일

 

즉 파일을 복사하거나 압축해제해도 C-Time이 변경된다.

 

EXIF(EXchangeable Image file Format)

디지털 기기를 이용해 사진촬영시 촬영정보를 함께 담는 포맷

'촬영기기의 제조사, 모델명, 촬영일시, GPS 정보' 등을 담고 있음

EXIFViewer같은 툴로 봐도 되고 내가 찍은 이미지를 보면 핸드폰 내에서도 제공을 하는것을 볼 수 있다.

 

 

 

스테가노그래피란?

파일안에 메시지나 파일을 숨기는 기술

 

Hash Value는 파일을 식별하는 고유의 값이다.

조금만 원본이 달라져도 해쉬값은 완전히 다른 값을 지니게 된다.

→ 무결성을 입증할 자료가 됨.

 

 

Windows Artifact

Artifact란?

OS나 애플리케이션을 사용하면서 자동으로 생성되는 흔적(비진술 증거)

→증거능력을 갖춤

 

Windows Artifact

윈도우의 여러 기능들과 그 기능을 구현하는데 필요한 요소들(파일 및 레지스트리 등)로부터 찾을 수 있는 여러 정보

- 레지스트리, 프리패치/슈퍼패치, 이벤트 로그, LNK 파일, Jumplist, Shellbags