ssoL2 TISTORY

휴대폰과 더불어 휴대기기들은 완벽한 증거가 될 수 있다. 1. 셀룰러 네트워크 셀룰러 네트워크는 여러 개의 셀(cell)로 구성 각 셀은 사전에 정해진 주파수 범위를 사용하여 특정 지역에 서비스 제공 셀 사이트(cell site) : 각 셀이 네트워크에 연결될 수 있도록 하는 기지국 각 셀 타워는 측면마다 3개의 패널이 있고 가운데 패널은 송신기, 나머지 2개는 수신기로 사용해 라디오 신호 탐지 셀 사이트는 여러 셀의 교차로에 위치 - 셀룰러 네트워크의 구성요소 기지국 : 안테나와 관련 장비로 구성 기지국 제어기(Base Station Controller, BSC) : 기지국 사이의 신호 조절 -> 휴대폰의 위치가 이동될 때 핵심 기지국 교환센터(Mobile Switching Center, MSC) : ..

해커들은 수많은 방법으로 네트워크를 공격할 수 있다. - 사회공학기법 인증된 사용자가 인증되지 않은 사용자에게 민감한 정보를 누설하게 만든다. 1. 네트워크 기초 물리적(이더넷 케이블) 혹은 무선으로 연결 서로 합의한 통신 규약인 프로토콜, 네트워크 프로토콜 두 가지 1. TCP/IP(Transmission Control Protocol/Internet Protocol) , 인터넷에서 사용함 -> 가장 흔한 네트워크 종류는 클라이언트/서버 네트워크 2. P2P(Peer-to-Peer) , 파일 공유 프로그램에서 많이 사용함 -> 네트워크에 있는 모든 컴퓨터는 클라이언트와 서버 두 역할 모두 수행 가능 - 네트워크 종류 근거리 통신망(Local Area Network, LAN)은 작은 사무실에서 사용 광역..

안티 포렌식은 디지털 데이터를 조작, 삭제 또는 난독화하여 조사를 어렵게 만들거나 시간이 많이 소요되도록 하거나, 아니면 거의 불가능하게 만드는 것이다. 안티 포렌식 툴과 기술은 불법적인 용도 혹은 합법적인 용도로 가능하다. 1. 데이터 은폐 파일 이름과 확장자 변조 관계 없는 디렉터리에 파일 숨기기 파일 속에 파일 숨기기 암호화 - 암호화 암호화는 양날의 검 ⚔ 테러범의 암호화를 포함한 여러 최신 기술 사용 - 암호화란? 데이터를 암호문이라는 형태로 변환하여 승인을 득하지 않은 사람들이 데이터를 쉽게 보지 못하도록 하는 것 평문 : 원본 텍스트로 암호화되지 않은 메세지로 모든 사람들이 읽을 수 있음 암호문 : 평문을 뒤섞어서 쉽게 이해할 수 없는 형태로 변환한 것 알고리즘 : 메세지를 암호화하는 데 사..

포렌식 조사관들에게 있어서 인터넷은 상당한 양의 증거가 저장되어 있는 장소일 수 있다. 따라서 웹 서핑, 채팅, 이메일, 소셜 네트워크 등이 어떻게 작동하느지 그리고 어디에 흔적을 남기는지를 반드시 이해해야 한다. 1. 인터넷 개요 웹 페이지는 어떻게 작동할까 사용자가 브라우저에 있는 주소창에 웹 주소나 URL(Uniform Resource Locator)를 입력 URL은 호스트, 도메인 이름, 파일이름의 세 부분으로 구성 HTTP(Hypertext Transfer Protocol, 하이퍼텍스트 전송 규약)는 인터넷에서 사용되는 프로토콜 프로토콜 : 다른 장비와 통신할 수 있도록 사전에 협의한 방법 http://www.digitalforensics.com 도메인 이름은 "digital forensics"..

데스크톱 시장의 90%(Brodkin, 2011)는 윈도우를 사용하고 있으며 포렌식 조사관은 대부분 윈도우 컴퓨터를 상대해야 한다. 1. 삭제된 데이터 삭제된 데이터는 다른 파일로 덮어써지기 전까지 그대로 남아있게 된다. 파일 카빙 : 할당되지 않은 공간에 있는 데이터를 수집하는 작업 할당된 공간 : 컴퓨터가 사용 중에 있고 기록 및 유지하고 있는 데이터 즉, 윈도우에서 볼 수 있고 열 수 있는 모든 파일 파일 시스템은 이러한 파일을 관리하고 기록함 2. 최대 절전모드 파일(HIBERFILE.SYS) 최대 절전모드와 하이브리드 절전모드는 데이터를 RAM에 저장하지 않고 하드 드라이브에 저장 컴퓨터는 "잠"을 세 가지 모드 1. 대기모드 2. 최대 절전모드 3. 하이브리드 절전모드 등 각 모드는 전력을 전..

현장에서 조사관은 다양한 종류의 기기와 저장 매체와 부딪쳐야 한다. 1. 범죄 현장과 증거 수집 증거 확보하는 것이 가장 먼저 해야할 것 디지털 증거는 인터넷, 전화 또는 기타 네트워크에 연결되어 있을 수 있음 - 이동식 매체 크기가 작은 메모리카드에는 잠재적 증거 저장 가능성 - 이동식 저장 매체 DVD, 외장 하드, USB 드라이브, 메모리카드 기기, 저장 매체 뿐만 아니라 주변의 책과 사용 설명서, 쓰레기통 등을 살펴봐야 함 모든 포렌식 조사관에게 있어 암호화는 되도록 피해야 함 - 휴대폰 문자메세지, 이메일, 전화기록, 연락처 등 가장 중요한 것은 수정되면 안 된다는 것 !! 1. 핸드폰을 끈다 2. 무선 신호로부터 보호 가능한 특수 용기에 밀봉(패러데이 봉투) 증거의 무결성을 지키지 않으면 법정..

랩과 툴에 대한 품질보증이 중요하며, 유효하고 안정적인 결과만이 생산될 수 있도록 보장되도록 해야 한다. 1. 포렌식 랩 미국 FBI의 RCFL(Regional Computer Forensic Laboratory, 지역 컴퓨터 포렌식 연구소) 포렌식 긍정적 영향 - 가상 랩 디지털 랩으로, 다른 위치에 있어도 되는 '가상' 랩 비용절감, 많은 자원에 접근 가능 (ex 툴과 저장장치), 불필요성 감소 역할 기반의 접근제어를 가능하게 함 (ex 조사관,랩 관리자 : 완전 접근 / 변호사,검사 : 제한 접근) 가상 랩을 운영하기 위해서는 1. 보안 2. 성능 3. 비용 이 고려되어야 함 - 랩 보안 증거와 시설에 대한 접근은 엄격하게 관리해야 함 출입 카드와 접근 코드같은 디지털 솔루션은 열쇠보다 더 많은 이..

디지털 포렌식을 하는 데 있어 컴퓨터의 내부 환경에 대한 깊은 지식은 핵심이다. 1. 비트와 바이트 컴퓨터는 바이너리 라고 불리는 2진수 언어를 사용한다. 사람들은 10진수(0~9까지의 숫자) / 컴퓨터는 신속하게 계산하기 위해 비트 여러 개 = 바이트(8 bit) 각 문자, 숫자, 스페이스, 특수 문자는 하나의 바이트로 표시 - 헥사데시멀 바이너리를 16진수로 편하기 표시할 수 있는 방법(숫자 0~9 그리고 문자 A~F) 앞에 "0x" 라는 문자가 붙거나 뒤에 "h"가 붙음 - 바이너리에서 문자로: ASHCII와 유니코드 컴퓨터는 인코딩(encoding)을 이용하여 바이너리를 사람이 읽을 수 있는 문자로 변환 ASCII(the American Standard Code for Information Int..