1) 디스크포렌식 분석 기초
- 모든 섹터들이 한 파티션에 모두 할당되지 않기 때문에 볼륨의 파티션 레이아웃을 분석하는 것이 필요
- 할당되지 않은 섹터들은 이전 파일시스템 데이터를 포함하거나 공격자가 숨기려고 하는 데이터를 포함할수도 있음
- 파일시스템 분석도구는 파티션 시스템에서 파티션 테이블 위치를 알아내고, 그 레이아웃을 식별해서 테이블 내용을 확인, 레이아웃 정보를 확인해서 파티션 오프셋을 알아내고, 파티션 정보를 출력
디지털포렌식2급 필기 스터디 1일차 메모
-------------1장 디지털포렌식 의의--------------
-
디지털포렌식 5대원칙
-영어로도 나올 수 있음
적법성
재현성
신속성
연계보관성
무결성 (해시값)
-
디지털포렌식 수행과정
-
쓰기 방지 -> 사본 -> 원본은 봉인
-
조금이라도 오류가 있으면 원본과 사본의 해시값이 틀려짐
-
분석 및 조사 과정에서 분석 전에 고지를 해야하고 서명을 받아야 함
-> 저장매체 수리가 필요한 경우 하드웨어 수리 전담팀이 있음
보고서 - 읽기만 되는 cd에 넣어서 제출
-
디지털포렌식 전자적증거
전자적증거가 가지는 특징
-
디지털포렌식 전자적증거 특성과 규제
음란물 배포죄, 아청법, 성폭력범죄의 처벌등에 관한 특례법 -> 같이 엮어서 보기
-------------2장 컴퓨터구조와 디지털 저장메체---------------
발전과정, 프로세스, 인터럽트
*** 데이터 구성 단위
데이터 저장 시에는 2진수로 표현
빅엔디안 - ex) 한글 읽을 때
리틀엔디안 ex ) 우에서 좌로 읽을때
misc, risc
-
문제는 그대로 외울것
데이터의 인코딩 - 참고로 외울것
디지털데이트의 무결성
-
해시 알고리즘 특징
: 동일한 길이, 해시값 출력, 동일 입력값에 대한 동일 해시값 생성, 해시충돌성, 해시 변화성
: 각각 단어에 대한 해시값은 고정된 길이
: 해시 충돌성 - 입력이 다르면 출력도 다름
: 해시 변화성
MD5, SHA-1 : 128bytes -> 데이터 용량 증가에 따, 데이터 무결성 유지 알고리즘에 위반
CRC, SHA-256, 512 개발되어 나옴
디지털 저장매체 종류 숙지
UEFI -> BIOS의 업그레이드
ROM vs RAM
플래시 메모리 - 보드에 장착되어 있기 때문에 분석 필요시 분리하여야 함 -> Chip Offset
SSD 특징 - trim, 반도체 구성, 속도가 빠름, 트림기능을 통해 데이터 입/출력 시 , 데이터를 삭제 했을 때
쓰지 않는 공간을 재배열함으로써 속도를 향상, 완전삭제 프로그램으로 지우지 않더라도 삭제된 데이터에 대하여 복구가 불가능
HDD shirt+del -> 100복구가능
완전삭제 도구 -> 삭제된 공간에 임의의 데이터를 덮어씌움 -> 7번 정도 -> 복구 불가능
디지털 기기의 저장매체 연결방식 (해당 단자들의 특징, 기능 확인 -> 인터넷)
SATA - 일반적 하드디스크
mSATA - 반도체 형태
썬더볼트 - MAC, 단자가 망함
RAID 0~5 방식 개념 재확인
하드디스크의 이해
CHS 방식과 LBA 방식의 차이 - 데이터를 물리적으로 읽어들이는 방식과 논리적으로 읽어들이는 방식
-------------3장 파일시스템과 운영체제---------------
메타데이터
시간정보, MAC 정보 -> 윈도우/리눅스 별로 약어가 틀림
M-Modified, A-Access
윈도우의 C(Create)
리눅스의 C(Change)
파일 시그니처(16진수)
파일시스템 - NTFS는 별도로 기억할 것
운영체제, 컴퓨팅 환경, 운영체제 기능
윈도우 주요 아티팩트 - 매우 중요, 필수적으로 외울 것
유닉스 주요 아티팩트
-------------4장 응용프로그램과 네트워크---------------
-웹브라우저
-메신저
-e메일
-문서작성프로그램
-멀티미디어 프로그램
-안티포렌식 프로그램 - 트루크립트, 비트락커, 스테가노그라피, TPM(물리적인 형태를 해시값을 추출을 해서
해시값이 동일해야지만 데이터를 볼 수 있도록 하는. 지문을 많이 씀, AES, RSA2048..)
네트워크 증거 수집 - 외울 것
-------------5장 데이터베이스---------------
데이터베이스 특징 - 시험에 잘 나옴 (영문으로 나올 수 있음)
데이터베이스 모델링 단계 (개념적 모델링 > 논리적 모델링 > 물리적 모델링)
데이터베이스 모델링
릴레이션은 하나의 데이터베이스로 보면 됨
SQL의 구성 - 단골문제(DDL, DML, DCL) - 해당 명령어 숙지
-
데이터베이스 포렌식
DB 데이터 수집 시 필요없는 데이터 수집으로 인하여 기업에서 승소를 한 사례가 있음 -> 이슈
업무시간을 피하고 네트워크 단절 상태에서 작업을 진행하여야 함
서버 장비 압수가 어려울 경우 필요한 데이터만 덤프를 떠서 분석
데이터베이스 분석 도구
ex) 일부 데이터(오라클DB) 덤프 -> 분석한 정보를 가지고 와서 DB를 새로 설치 후 덤프 데이터를 복원하여 분석 진행
DB 쿼리 실행 로그 파일 분석
-> 별도의 DB 접근제어 솔루션이 없을 경우 별도의 시스템에 로그 기록을 수집하고 있는지 확인
-> DBsafer 를 사용하고 있는 경우 명령어 히스토리를 수집하는 방법 및 절차 확인
-------------6장 디지털포렌식 기초실무---------------
-
가장 문제가 많이 나오는 파트
-
포렌식 도구에 대한 일반적인 요구사항
ENCE -> 동일성에 대하여 이슈가 있음(최근 버전), 동일한 이미지에 대한 분석 결과가 다르게 나왓음
건전도 검사 : 분석관에 대한 신뢰도 ex) 대검 - 포렌식 자격증 등 자격 요건
도구 - autopsy -> 리눅스 시스템 분석
-
포렌식 도구에 대한 검증 및 평가방안은 미국표준기술연구소(NIST)의 컴퓨터 포렌식 도구 테스트(CFTT) 프로젝트 사이트에서 그 결과를 공개하고 있음
한컴 GMD -> 모바일 포렌식 사업 접음
휘발성 정도에 따라 휘발성 정도가 높은 순서 - 문제 잘 나옴
-
실기 시험 시 쓰기방지 상태 적용 후 진행 (autorun 등 자동 v3 검사에 의하여 파일 삭제될 수 있음)
Encase -> 자체 이미징 확장자가 있음 (*.E01, *.EX01) -> 자체 무결성 알고리즘 적용을 통해 무결성에 대하여 보증하기 위함,
E01 -> CRC
EX01 -> 암호까지
이미징 시 용량에 대한 부분에 차이도 있다. (1대1,)
EnCASE
디포2급
CIA
GCFA (SANS forensic) - 130만
'DFIR > 디지털포렌식 기초' 카테고리의 다른 글
BitLocker 포렌식 (0) | 2021.03.04 |
---|---|
안티포렌식 - USB 메모리 사용 흔적 삭제하기 (0) | 2021.03.02 |
[Forensic] 윈도우 아티팩트 - 레지스트리 (0) | 2021.01.22 |
[Forensic] Encase 를 이용한 디지털포렌식 분석 (0) | 2021.01.21 |
[Forensic] WinHex 사용법 (0) | 2021.01.21 |