kkamagi's story

IT, 정보보안, 포렌식, 일상 공유

DFIR/디지털포렌식 기초

[Forensic] 디스크포렌식 기초

까마기 2021. 1. 27. 15:03
728x90
반응형

1) 디스크포렌식 분석 기초

- 모든 섹터들이 한 파티션에 모두 할당되지 않기 때문에 볼륨의 파티션 레이아웃을 분석하는 것이 필요

- 할당되지 않은 섹터들은 이전 파일시스템 데이터를 포함하거나 공격자가 숨기려고 하는 데이터를 포함할수도 있음

- 파일시스템 분석도구는 파티션 시스템에서 파티션 테이블 위치를 알아내고, 그 레이아웃을 식별해서 테이블 내용을 확인, 레이아웃 정보를 확인해서 파티션 오프셋을 알아내고, 파티션 정보를 출력

 

디지털포렌식2급 필기 스터디 1일차 메모

 

-------------1장 디지털포렌식 의의--------------

  1. 디지털포렌식 5대원칙

-영어로도 나올 수 있음

적법성

재현성

신속성

연계보관성

무결성 (해시값)

 

 

  1. 디지털포렌식 수행과정

  • 쓰기 방지 -> 사본 -> 원본은 봉인

  • 조금이라도 오류가 있으면 원본과 사본의 해시값이 틀려짐

 

  • 분석 및 조사 과정에서 분석 전에 고지를 해야하고 서명을 받아야 함

-> 저장매체 수리가 필요한 경우 하드웨어 수리 전담팀이 있음

 

 

보고서 - 읽기만 되는 cd에 넣어서 제출

 

 

  1. 디지털포렌식 전자적증거

 

전자적증거가 가지는 특징

 

  1. 디지털포렌식 전자적증거 특성과 규제

음란물 배포죄, 아청법, 성폭력범죄의 처벌등에 관한 특례법 -> 같이 엮어서 보기

 

 

 

-------------2장 컴퓨터구조와 디지털 저장메체---------------

 

발전과정, 프로세스, 인터럽트

 

*** 데이터 구성 단위

데이터 저장 시에는 2진수로 표현

빅엔디안 - ex) 한글 읽을 때

리틀엔디안 ex ) 우에서 좌로 읽을때

 

misc, risc 

  • 문제는 그대로 외울것

 

데이터의 인코딩 - 참고로 외울것

 

디지털데이트의 무결성 

  • 해시 알고리즘 특징

: 동일한 길이, 해시값 출력, 동일 입력값에 대한 동일 해시값 생성, 해시충돌성, 해시 변화성

: 각각 단어에 대한 해시값은 고정된 길이

: 해시 충돌성 - 입력이 다르면 출력도 다름

: 해시 변화성

MD5, SHA-1 : 128bytes -> 데이터 용량 증가에 따, 데이터 무결성 유지 알고리즘에 위반

CRC, SHA-256, 512 개발되어 나옴

 

디지털 저장매체 종류 숙지

 

UEFI -> BIOS의 업그레이드

 

ROM vs RAM

 

플래시 메모리 - 보드에 장착되어 있기 때문에 분석 필요시 분리하여야 함 -> Chip Offset 

 

SSD 특징 - trim, 반도체 구성, 속도가 빠름, 트림기능을 통해 데이터 입/출력 시 , 데이터를 삭제 했을 때 

쓰지 않는 공간을 재배열함으로써 속도를 향상, 완전삭제 프로그램으로 지우지 않더라도 삭제된 데이터에 대하여 복구가 불가능

 

HDD shirt+del -> 100복구가능

완전삭제 도구 -> 삭제된 공간에 임의의 데이터를 덮어씌움 -> 7번 정도 -> 복구 불가능

 

디지털 기기의 저장매체 연결방식 (해당 단자들의 특징, 기능 확인 -> 인터넷)

 

SATA - 일반적 하드디스크

mSATA - 반도체 형태

 

썬더볼트 - MAC, 단자가 망함

RAID 0~5 방식 개념 재확인

 

하드디스크의 이해

CHS 방식과 LBA 방식의 차이 - 데이터를 물리적으로 읽어들이는 방식과 논리적으로 읽어들이는 방식

 

 

-------------3장 파일시스템과 운영체제---------------

 

메타데이터

시간정보, MAC 정보 -> 윈도우/리눅스 별로 약어가 틀림

M-Modified, A-Access

윈도우의 C(Create)

리눅스의 C(Change)

 

파일 시그니처(16진수)

 

파일시스템 - NTFS는 별도로 기억할 것

 

운영체제, 컴퓨팅 환경, 운영체제 기능

 

윈도우 주요 아티팩트 - 매우 중요, 필수적으로 외울 것

유닉스 주요 아티팩트 

 

 

 

-------------4장 응용프로그램과 네트워크---------------

 

-웹브라우저

-메신저

-e메일

-문서작성프로그램

-멀티미디어 프로그램

-안티포렌식 프로그램 - 트루크립트, 비트락커, 스테가노그라피, TPM(물리적인 형태를 해시값을 추출을 해서 

해시값이 동일해야지만 데이터를 볼 수 있도록 하는. 지문을 많이 씀, AES, RSA2048..)

 

네트워크 증거 수집 - 외울 것

 

 

-------------5장 데이터베이스---------------

 

데이터베이스 특징 - 시험에 잘 나옴 (영문으로 나올 수 있음)

데이터베이스 모델링 단계 (개념적 모델링 > 논리적 모델링 > 물리적 모델링)

데이터베이스 모델링 

릴레이션은 하나의 데이터베이스로 보면 됨

SQL의 구성 - 단골문제(DDL, DML, DCL) - 해당 명령어 숙지

 

  • 데이터베이스 포렌식

 

DB 데이터 수집 시 필요없는 데이터 수집으로 인하여 기업에서 승소를 한 사례가 있음 -> 이슈

업무시간을 피하고 네트워크 단절 상태에서 작업을 진행하여야 함

서버 장비 압수가 어려울 경우 필요한 데이터만 덤프를 떠서 분석

데이터베이스 분석 도구

 

ex) 일부 데이터(오라클DB) 덤프 -> 분석한 정보를 가지고 와서 DB를 새로 설치 후 덤프 데이터를 복원하여 분석 진행

 

DB 쿼리 실행 로그 파일 분석

-> 별도의 DB 접근제어 솔루션이 없을 경우 별도의 시스템에 로그 기록을 수집하고 있는지 확인

-> DBsafer 를 사용하고 있는 경우 명령어 히스토리를 수집하는 방법 및 절차 확인

 

 

-------------6장 디지털포렌식 기초실무---------------

 

  • 가장 문제가 많이 나오는 파트

 

  • 포렌식 도구에 대한 일반적인 요구사항

ENCE -> 동일성에 대하여 이슈가 있음(최근 버전), 동일한 이미지에 대한 분석 결과가 다르게 나왓음

 

건전도 검사 : 분석관에 대한 신뢰도 ex) 대검 - 포렌식 자격증 등 자격 요건

 

도구 - autopsy -> 리눅스 시스템 분석

 

  • 포렌식 도구에 대한 검증 및 평가방안은 미국표준기술연구소(NIST)의 컴퓨터 포렌식 도구 테스트(CFTT) 프로젝트 사이트에서 그 결과를 공개하고 있음

 

 

한컴 GMD -> 모바일 포렌식 사업 접음

 

휘발성 정도에 따라 휘발성 정도가 높은 순서 - 문제 잘 나옴

 

  • 실기 시험 시 쓰기방지 상태 적용 후 진행 (autorun 등 자동 v3 검사에 의하여 파일 삭제될 수 있음)

 

 

Encase -> 자체 이미징 확장자가 있음 (*.E01, *.EX01) -> 자체 무결성 알고리즘 적용을 통해 무결성에 대하여 보증하기 위함, 

E01 -> CRC 

EX01 -> 암호까지

 

이미징 시 용량에 대한 부분에 차이도 있다. (1대1,)

 

 

 

EnCASE

디포2급

CIA

GCFA (SANS forensic) - 130만

  

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

반응형