[디지털포렌식] 이론 정리

디지털포렌식 증거 능력 요건

1. 진정성

- 분석하는 증거가 사건과 직접적인 연관이 있는가

2. 원본성

- 수집된 증거의 원보늘 제출해야함

3. 무결성

- 수집•제출•이관 중 원본 데이터에 대해 변형을 주면 안됨

- ideal : 훼손될 경우 증거로서의 가치 X

- reality : 컴퓨터는 켜져있는 매순간 데이터가 새로 씌어지며 변형됨. 하지만 서버와 같은 시스템에 대해 포렌식을 진행할 경우 시스템을 OFF 한 상태로 수집을 못하기에 현실적으로 무조건적으로 지키기는 힘듬

- 무결성을 왜 지킬 수 없었는지에 대해 체계적으로 문서화 할 경우 인정 받을 수 있는 경우가 존재

4. 신뢰성 

- 기관, 사람, 도구

- 여기서 도구는 특정 브랜드를 의미하지 않음(예: EnCase, DFAS 등등 상관 X)

* 재현의 법칙 : 반복적으로 할 경우 동일한 현상이 재현되어야 함

---

디지털포렌식 사고 대응 절차

1. 사전 준비

- 분석 도구가 무엇이 있는지(예: 윈도우만 되는지, 맥도 되는지 OR 성능은 어떤지 OR 무료/유료 인지)

- 자산의 갯수 및 규모

- 여러 용량의 디스크 준비

2. 사고 식별

3. 증거 수집

4. 조사 분석

5. 보고서 작성

6. 증거 보존

---

디지털포렌식 증거 수집 절차

1. 컴퓨터 ON/OFF 상태 확인

- OFF: 증거 확보 진행

- ON : 활성 시스템에 대한 증거가 필요한지(예: 악성코드 분석) 판단 후 OFF 진행

2. 분석

- 정해진 장소(사무실, 현장) 등에서 분석 진행

---

주요 장비

1. 디스크 복제 장비(하드웨어)

- 보통 이러한 복제 장비들이 무결성과 원본성을 담보해줌

- 원본에 대해 똑같이 복제해준다고 생각

2. 분석 솔루션(소프트웨어)

- FTK

- EnCase

- FAS Pro

- AXION

3. 모바일 분석 도구

- 다수의 젠더들(케이블)

- 모바일 분석에 대한 수요가 지속적으로 증가중

- 하지만 휴대폰 내 탑재되는 기술 및 보안성 및 소비되는 데이터가 증가하며 해가 지날 수록 어려워지는중

4. 쓰기방지 장치 및 기타

- 저장장치와 컴퓨터 연결 시 중간에 연결하여 데이터 값이 변조되지 않도록 함(무결성)

- 복제 장비에는 기본적으로 탑재된 기능

- 전차파 차단 백:

- 분실 시 초기화 되도록 설정된 폰들이 존재

- 그렇기에 휴대폰 분석을 위해 수집 시 기본적으로 유심 제거, 에어플레인 모드로 설정 후 핸드폰 OFF 후 달라고 공지하지만 몇몇 사람들은 수행 X

- 그렇기에 초기화 되는 것을 방지하기 위해 사용

---

파일 삭제

- 파일 삭제 관련 분석하기 어려움

- MFT에서 삭제 관련 시간 확인 가능

- 하지만 삭제된 후 의 시간이 아닌 삭제되기 전까지의 시간임

- 파일을 삭제할때는 메타데이터만 지움(파일에 접근하기 위한 메타데이터를 지움)

- 그렇기에 4월 1일에 생성한 파일에 대해 4월 2일 삭제 진행할 경우 4월 1일로 찍힘

- 정확한 삭제 시간을 알고 싶을 경우 하위 폴더들에 대한 삭제 기록을 확인해가며 ROOT로 내려갈 경우 유추 가능

---

복구

- MFT → 파일 정보 소유 하고 있음
- 삭제는 되었지만 전체 디스크에 A라는 파일이 어느 위치(주소)에 있는지 알고 있음

---

카빙

- 하나의 디스크에 사용중인 공간, 사용하지 않는 공간이 존재
- 여기서 사용하지 않는 공간에서 파일처럼 보이는걸 모두 덤프
- 확장자, 내용만 알고 감
- 하지만 현대 SSD에서는 이 빈공간을 지움. 그래서 점점 어려워주는 추세
- 제품마다 어떤 알고리즘을 사용해 이 작업을 수행하는지는 제조사마다 다름
- 포렌식 툴(복구용)

---

아티팩트

+ Recycle Bin

- 앞에 사용자 SID가 포함되어 있음

- 이때 디스크 떼서 다른데 붙여서 파일 옮기고 디스크를 다시 원복 시켜 놓으면 여기에 옮긴 PC의 사용자 SID가 남음

 

+ 바로 가기(Link File)

- 링크 파일은 사용자가 문서나 응용 프로그램을 열거나 실행하는 경우 생성

- PC에서 USB로 파일 옮기는 행위 그 자체에는 기록이 남지 않음

- 하지만 보통 옮긴 뒤 잘 열리는지 확인하며 파일 하나 정도 열게됨(이 경우는 기록됨)

- 당연히 실행되기 위해서는 보유하고 있어야 하기 때문에 파일 옭긴 행위를 유추 가능

 

+ 휘발성 데이터

- 껐다 키면 날아감

- 악성코드가 RAM에 상주 할 수 도 있기에 덤프를 뜨기도 함

- 그 외 포렌식에서는 주로 덤프 안하고 분석하지 않음

* 가상 메모리 : 휘발성 메모리에 있는 데이터들이 SWAP에 의해 데이터 디스크에 스치는 것

 

+ Hiberfil.sys

- 보통 수집하지는 않음

- 라이브시스템에서 휘발성 데이터를 수집해야할때 일부러 절전모드로 들어가게 한 후 수집하는 경우는 존재

 

+ 레지스트리 하이브

- SYSTEM : 하드웨어 드라이버 및 구성 정보

- SAM : 사용자 계정 정보

- SECURITY : 감사 및 권한 정보

- SOFTWARE : 응용프로그램 정보

- 상기 4개 하이브 파일 외에도 NTUSER도 보통 수집함

- 경로 : WINDOWS\WIN32 AND WINDOWS\USER 

 

+ 파일 삭제 시간 분석 방법

- $LOGFILE, $MFT, $USNjrml

 

+ Index.dat (webcache.dat)

- 웹서버로부터 불러온 임시 파일

- 사용자의 성향을 파악 가능

- 특히 데이터 유출하는 사람들은 꼭 유출 시 처벌 등 관련 사항에 대한 검색을 한 기록이 존재

 

+ 카카오톡 PC 분석 시

- 카카오톡 폴더 + NTUSER.DAT 추출 필요

 

+ USB  연결 시간

- Registry Viewer에서 USB 연결 Last Written Time 참고

- 최초 연결 시간으로 봐도 무방하지만 가끔 갱신되는 경우도 존재하며 변동성이 있기에 참고만 해야함

---

보고서 작성법

1. 보고서 필수 포함 내용

- 의뢰 내용

- 조사의 범위

- 분석 수행자 정보

- 분석에 활용된 도구

- 분석대상 매체의 정보

(매체 상세정보, 무결성을 증빙할 근거, 매체의 시리얼 확인이 가능한 사진 등)

 

2. TIP

- 보고서 작성은 가능한 추측성 문구는 지양하고 쉬운 언어로 작성

- 보고서 작성 전 분석의뢰서 작성을 통해 조사대상과 분석의 범위를 명확하게 할 필요가 있음

---

관련 TIP 및 기타 내용

+ 클라우드 환경에 대한 포렌식 필요시

- 예: VDI

- 해당 가상 환경을 관리하는 IDC 등에 분석이 필요한 클라우드 환경의 가상 디스크를 내려달라고 요청

 

+ 파일 시그니처

- FLAG라고도 함

- 시그니처 확인 후 해당 HEX 값 인터넷에서 DB 등에 검색하면 어떤 확장자인지 알 수 있음

 

+ 다른 장치에서 파일이 옮겨진 경우

- MAC 테이블에서 수정 시간이 생성, 접근 시간보다 더 빠를 경우 다른 장치에서 파일이 옮겨진 것으로 판단 가능

- 파일이 옮겨지면 해당 MAC 시간대에 대한 변화가 발생

 

+ 점프리스트

- 우크릭해서 볼 수 있는 최근 실행 항목 또는 최근 방문 사이트 같은 것

 

+ Shell Bag MRU

- 특정 폴더에 가기 위해서 클릭했던 내용들

 

+ 디스크이미징 시 사용 포맷

- E01 포맷이 범용성이 있기에 가능한 해당 포맷 사용

 

+ 증거 수집 저장 경로

- 경로 생성 시 경로명을 가능한 영어로 작성

- 특정 툴들의 경우 한글 경로 인식 시 오류 발생 가능

 

+ 휴대용 SSD

- 안에 SSD Controller가 존재해 컴퓨터에서 USB가 아닌 로컬 디스크로 인식하는 경우가 존재

- 이에 연결되었던 저장 장치 조사 시 해당 부분 확인 필요

 

+ CTL + C, V와 추출간의 차이점

- 복사 붙여넣기가 되며 MAC 타임 중 M이 붙여넣어지는 시간으로 덮어씌어짐

- 툴로 추출할 경우 그렇지 않음(메타데이터 보존을 위한 무결성 유지)

- 하지만 사건이 시급하거나 특정 경우에 따라 복사 붙여넣기를 사용하기도 함

 

+ 디스크 이미지 드라이브 표시

- 켜져있는 상태에서는 디스크를 인식하고 있음(라벨된 느낌)

- 하지만 디스크 이미지를 올렸을 경우는 인식이 안되기에 C, D. 등이 아닌 NONAME으로 표시됨

- NONAME으로 표시된 디스크 드라이브 알아내는 법

- 폴더 접근 내역에서 볼륨 S/N 기준으로 디스크 드라이브하고 매칭하면 어떤 드라이브인지 확인 가능

 

+ S/N

- 고유값

- Volume S/N = 논리값으로 변경 가능(포맷)

- 보통 8자리로 구성(예 : 1234-5678)

- 이를 응용하여 조사 대상자가 디스크를 포맷 했는지 등을 파악 가능

 

+ 계정 정보는 존재하지만 해당 유저의 폴더가 존재하지 않을 경우

- 한번도 로그인 하지 않은 것으로 추측 가능

 

+ 최초 연결시간이 SetupAPI, Registry 두개가 존재할 경우

- SetupAPI가 더 중요

 

+ Bitlocker 걸려있는지 확인 필요

- 점검 방법 :

- BitLocker 설정 부분 확인

- Version 확인(Windows Pro 버전 이상에만 존재)

 

+ 윈도우즈는 압축파일도 폴더로 인식

 

+ renamed의 경우 두 갈래의 파일로 나뉨

- old

- new

 

+ 메일분석에서 Deleted Items, Recovery 차이

-  Deleted Items : 삭제된 폴더에 있는 메일

- Recovery : 삭제된 폴더에서 삭제한 메일

 

+ 주 사용자 계정 확인 

- 온라인 계정으로 설정되어 있을 경우 로그인 횟수 기록이 서버로 가게되어 참고가 어려움