디지털포렌식 절차 및 무결성 유지

절차는 왜 중요할까..

포렌식은 법정에 제출이 목표라서 그럼

 

준비단계

사건파악 및 증거물 수집계획 수립 → 디지털 증거 수집 팀 구성 및 교육 → 디지털 증거수집 장비의 준비 및 점검 → 저장매체 확인

현장도착

전 과정의 사진 및 영상 촬영 → 영장제시 or 동의서 작성 → 현장 통제 → 사건 현장 기록

증거의 수집

휘발성 증거 수집 → 비휘발성 증거 수집 → 주변장치와 기타 기록물 수집

봉인

증거물의 포장 → 상세정보 기록 및 부착 → 증거물의 확인

이송

연계보관성 유지 필수..

증거분석 및 보고서 작성

분석 내용 구체적이고 쉽게 알아볼 수 있도록

 

증거수집 절차에서 무결성을 유지하려면?

- 영상 촬영: 증거 사본 생성의 과정을 영상으로 촬영

- 쓰기방지 설정: 읽기만 가능한 형태로 변경하여 훼손 방지

- 자동실행방지 설정: USB 연결시에 자동으로 인식되어 변조되는 것을 막기 위해 설정

- 이미지 생성: 복제 장치가 있다면 원본과 사본 매체를 연결해 복제, 없다면 포렌식 소프트웨어로 복제

- Hash값 및 로그파일 확인

- 봉인 및 확인

 

 

쓰기방지 하는거는 레지스트리 편집기에서 할 수 있다.

 

레지스트리 편집기를 열어서

HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Control / StorageDevicePolicies로 들어간다.

들어가다가 없으면 키 새로만들면 됨.

 

해당 디렉토리로 들어가면 WriteProtect가 있다. (이것도 없다면 32비트 새로만들기 하면된다.)

이 데이터값이 지금은 0으로 되어있는데 1로 바꾸면 쓰기방지가 실행된다.