[디지털포렌식_기초]1주차 디지털 포렌식 기초

디지털 포렌식
: 정보기기에 내장된 디지털 자료를 근거로 삼아 어떤 행위의 사실 관계를 규명하고 증명하는 신규 보안서비스 분야
 
법과학(=포렌식)
: 과학적 범죄 수사 방법
 
컴퓨터 범죄(=사이버 범죄)
:컴퓨터, 통신, 인터넷 등을 악용하여 사이버 공간에서 행하는 범죄(디도스, 해킹, 랜섬웨어...)
 
포렌식의 필요성
:컴퓨터 범죄 이외에도 일반 범죄에서도 주요한 단서가 될 수 있다.
 
디지털 포렌식의 유형
-침해사고 대응: 실시간, 사태파악 및 수습, 엄격한 입증이 필요x
-증거 추출: 사후 조사, 범죄 증거 수집, 업격한 입증이 필요o
 
디지털 포렌식 하는 대상
디스크 포렌식: 컴퓨터 디스크(C드라이브, D드라이브 ...)
메모리 포렌식: 컴퓨터 메모리(RAM)
네트워크 포렌식: 네트워크 패킷, 네트워크 장비로그, 네트워크 관련 설정
모바일 포렌식: 모바일 디바이스(저장소, 메모리), IOT디바이스
 
과정
디스크 이미징: 현장에서 디스크를 파일형태로 만드는 것
디스크 마운트: 이미징된 파일을 내 컴퓨터에 등록하는 것(이미징의 역과정)
메모리 덤프: 켜져있는 컴퓨터를 가져올 때 그 메모리의 상황을 가져오는 것(아이들이 놀이터에서 놀고있는 장면을 카메라로 찍는것과 비슷하게 볼 수 있다.)
 
필요 프로그램

• Hxd: 파일의 헥스값을 보는데 사용
• Everything: 포렌식 도구는 아니지만 컴퓨터 전체에 인덱스를 생성하여 컴퓨터 안에 있는 파일과 문서 등을 빠르게 찾을수 있도록 도와준다.
• 7zip: 압축풀기 프로그램(반디집과 유사)
• notepad++: 파일 한번에 올려서 볼 수 있다
• Sysinternal suite: 도구들 모임(strings, pocmon...)
• FTK imager: 이미징, 마운트, 이미지 덤프 등등 디스크 이미지 관리
• Autopsy: 디스크 이미지관리

강의에 따라 디스크를 이미징 해보았다.
 

오래걸려서 이미징했는데 파일이 올라가지 않았다. 
 
문제 해결을 위해 
https://support.bluestacks.com/hc/ko/articles/360058102252-%EB%B8%94%EB%A3%A8%EC%8A%A4%ED%83%9D5-Windows-10%EC%97%90%EC%84%9C-%EA%B0%80%EC%83%81%ED%99%94-VT-%ED%99%9C%EC%84%B1%ED%99%94%ED%95%98%EA%B8%B0
링크에 올라온 대로 가상화모드도 해제해 보았지만 해결되지 않았다.
 
일단 다음 단계 진행을 위해 인프런 강의에 올려주신 파일을 사용하기로 했다.

중간중간에 x로 표시되어 있는 파일이 삭제된 파일이다. 이 파일 들을 바탕화면에 복구시켜 보도록 한다.
 

바탕화면에 삭제되었던 image E01복사본 파일이 복구되었다.
 
 
 
Autopsy를 사용해보자

 
Autopsy는 FTK에 비해 파일타입의 분류가 더 잘되어 보기 편하다.
 
 

---

디지털 포렌식에 대한 정의와 디지털 포렌식을 하는데에 사용되는 도구에 대해 알게 되었다. 디지털 포렌식을 처음 접해서 복잡하였지만 강의에서 설명해주신 과정을 직접따라해보면서 파일이 복구되는 과정을 알 수 있어 재미있었다.   
 
 
https://www.inflearn.com/course/%EA%B8%B0%EC%B4%88-%EB%94%94%EC%A7%80%ED%84%B8-%ED%8F%AC%EB%A0%8C%EC%8B%9D

[무료] 기초부터 따라하는 디지털포렌식 - 인프런 | 강의

본 글은 위의 인프런 강의를 듣고 작성하였습니다.