맨땅에 헤딩하기

오늘은 말씀드린대로 리눅스포렌식 관련으로 정리해봅니다.

 

현재 대부분의 리눅스 기반포렌식 툴은 오픈소스(무료)툴로 제공되는경우가 많으며, 윈도우 기반 포렌식툴보다 유연한 운영 환경을 제공해주고 있습니다.

그렇지만 사용자 요구시 포렌식 tool에 대한 즉각적인 기술지원이 어렵고, 표준화된 절차 및 방법론, 사용법 관련 문서,샘플등이 부족하며, 윈도우에 비해 다양한 기능을 제공 못하고 있습니다.

 

윈도우 때 처럼 리눅스 파일시스템의 종류를 먼저 살펴보겠습니다.

 

저널링 기능이 없는 파일 시스템 : ext2

저널링 기능이 있는 파일 시스템 : ext3 , xfs, reiserFS, ffs, ZFS, JFS , ext4

현재 대부분의 리눅스가 채택하고 있는 저널링 파일시스템 형식은 ext3이며, 유닉스/리눅스는 파일시스템도 파일로 인식합니다.

 

파티션 설정 상태 확인은 “fdisk -l” 명령을 통해 확인 가능합니다.

 

리눅스 파일 시스템의 블록구조는 다음과 같다.
- boot block  : 부팅에 필요한 bootstrap code

- super block : 각 파일 시스템의 meta data 정보

- i-node block :  inode lists

- data block : 실제 데이터 및 디렉토리

 

그럼 i-node에는 어떤 정보들이 있는지 알아본다.

i-node : 파일 시스템 내의 모든 객체는 i-node로 표현되어짐

ð  File type, permissions, owener, group, file size, file MAC time, number of links

 

MAC time : 파일 디렉토리의 고유한 시간 속성 정보

- mtime : 파일의 최근 수정 내용

- atime : 파일의 최근 접근 시간

- ctime : 파일의 최근 속성 정보 수정 시간

 

rpm파일을 통해 알아 보는 간단한 포렌식에 대해 알아보자..

rpm 파일은 RedHat 기반의 바이너리 설치 파일 패키지이다.

 

rpm 패키지 자체의 checksum 기능 이용하여 설치된 파일들의 위변저 여부확인 가능

ex) rpm –Va

. . 5 . . . . T      /bin/ls

S . 5 . . . . T  c  /etc/crontab

 

출력 형식

S : file size differs

M : mode differs(permissions and file types)

5 : MD5 sum differs

T : mTime differs

U : User ownership differs

G : Group Uer ownership differs

 

이제는 디스크 스냅샷 작성을 해보자.

 

디스크 스냅샷에는 다음 명령어를 사용한다.

dd : 유닉스 또는 리눅스에 기본적으로 포함된 명령어로 디스크전체 또는 각 파티션에 대한

스냅샷 작성도구

사용법

# dd if=<source> of=<target> bs=<byte size> count=<blocks>

-       bs, count 옵션을 이용하여 특정부분이나 사이즈만 복제 가능

 

메모리 스냅샷은 디스크와 동일하지만, 유의가 필요하다.

# dd if=/dev/mem of=memdump.dd conv=noerror,sync

è  Noerror, sync 옵션을 사용 안하면 계속 진행 불가

 

스냅샷을 작성 했으며 체크섬 값을 이용한 무결성 인증한다.방법은 다음과 같다.

è  md5,sha1을 이용하여 파일의 무결성을 체크하고 검증하는 일반적 방법

ex) # md5sum image.dd > mysum.md5

   .# md5sum -c mysum.md5

 

다음 시간에는 파일 복구에 대해서 알아보기로 하겠습니다.

 

비비디바비디부 괴담 대응과정..

윈도우 포렌식 두번째입니다.

 

오늘은 레지스트리,인터넷접속, 윈도우파일분석등을 알아봅니다.

레지스트리란 “운영체제 내에서 작동하는 모든 하드웨어,소프트웨어,사용자 정보 및 시스템 구성 요소등을 담고 있는 데이터 베이스”를 말하며 다음과 같은 5개의 상위키를 가진다

 

HKEY_CLASSES_ROOT

- 파일 확장자에 대한 정보, 각 파일과 프로그램간의 연결에 대한 정보, 마우스 오른쪽 단추의 등록정보등..

HKEY_CURRENT_ROOT

- 현재의 로그인중인 사용자들에 대한 등록정보, 응용 프로그램의 우선순위, 보안접근 허용 여부

HKEY_LOCAL_MACHINE

- H/W 구성 초기화 파일, 제어판과 밀접, 사용중 H/W , S/W에 대한 정보

 HKLM/Software/CLASSES : HKEY_CLASSES_ROOT의 키값과 동일한 값 가짐, 두곳이 연동되어 생성이나 삭제가 같이 이뤄짐

HKEY_USERS

- 이전 사용자 초기화 파일 보관, 두키 사이가 겹치면 HKEY_CURRENT_USER가 우선

HKEY_CURRENT_CONFIG

- 현재의 사용중인 윈도의 디스플레이 정보 와 프린터 관련정보

HKEY_DYN_DATA

- wind95,98,me까지 존재

 

윈도우 레지스트리분석

-         최근 열었거나, 실행,수정한 문서에 대한 사용흔적

MRU (most Recently Used)

- 가장 최근 사용된 파일 프로그램에 대한정보 목록을 말하며 일부정보가 레지스트리에 기록

HKCU\Software\Microsoft\windows\currentVersion\exploer\ComDlg32\OpenSaveMRU

- 최근 Open 되거나 Save된 파일 목록

HKCU\Software\Microsoft\windows\currentVersion\exploer\ComDlg32\LastVisitedMRU

- OpenSaveMRU 에 새로운 항목이 추가되면 이 키에 새로운 값이 생성되거나 수정

HKCU\Software\Microsoft\windows\currentVersion\exploer\ComDlg32\RecentDocs

- windows explorer를 통해서 최근 Open된 파일 목록 기록

HKCU\Software\Microsoft\windows\currentVersion\exploer\ComDlg32\RunMRU

- 시작->실행 선택해 실행된 명력 목록 유지. 가장 최근 추가된 명령어 항목이 가장 최근

사용된 명령어 의미하지 않음

 

HKCU\Software\Microsoft\windows\CurrentVersion\exploere\UserAssist

- 사용자가 접근한(실행한) 프로그램, Shortcut, control panel applet등 기록

 

HKLM\SYSTEM\ControlSet00x\Enum|USBSTOR

- USB 장치 정보 저장

 

그외 몇가지 더 있으나 필요하시면 좀 찾아 보시면 될듯합니다..

왠만하면 pc에 기록이 다 남으니 허튼짓은 안하시는게..^^;

 

그외 이제 인터넷 접속기록 부분은 History정보와 Cache 정보 Cookie 정보등을 살펴 보아야한다.

History 경우 간혹 ID와 Password 관련정보 있을수 있고cache 경우 삭제파일들을 복구하여 검색하며, Cookie 경우 사용자정보,세션정보가 저장관리되므로, 유용하게 사용된다.

 

마지막으로 윈도우 파일분석입니다.

작업에 따른 파일의 MAC시간 변경

파일생성 : 수정한날짜, 만든날짜,접근날짜 모두 일치

파일이름변경 : 접근날짜

파일내용수정 : 수정날짜,접근날짜,

파일복사 : 만든날짜, 접근날짜

파일이동 : 접근날짜

파일다운로드 : 만든날짜, 수정날짜, 접근날짜 변경

메신저에 의한 파일생성 : 만든날짜, 수정한날짜, 접근날자 변경

파일압축해제 : 만든날짜, 접근날짜 변경

 

파일의 MAC 수집

 

dir /t:a /s /o:d c:\ -> C드라이브에서 각각의 모든 파일, 디렉토리에 대한 접근 시간

dir /t:w /s /o:d d:\ -> D드라이브에서 각각의 모든 파일, 디렉토리에 대한 기록한 시간

dir /t:c /s /o:d e:\ -> E드리이브에서 각각의 모든 파일, 디렉토리에 대한 작성 시간

 

휴지통 파일에서 INFO2파일의 경우 windows 2K/xp.에서 800bytes 크기 가집니다.

 

이상으로 윈도우 포렌식을 또 마칩니다..

다음에는 머할까요..리눅스 포렌식쪽으로 해보겠슴다...

 

투랍니다..

드뎌 포렌식 교육이 종료 되었습니다..

언제 끝나나 했는데..ㅋㅋ 6주 짧은 기간였지만 직장다니면서 하기는 좀 빡센…^^;

무사히 수료 해서 수료증 받았슴당..ㅋㅋ

시험만 합격하면..흐….

 

이번시간에는 지난시간에 포스팅한 파일시스템에 이어 윈도우 포렌식을 시작합니다.

 

윈도우에 대해 대략 알아보고 휘발성 증거, 레지스트리,인터넷접속, 윈도우파일분석등을 알아봅니다.

 

우선 윈도우의 구조,포르세스,폴더등을 알아본다.

 

윈도우 구조…

 

지식인에서 아래 그림 한 개 찾았는데..다른 좋은 그림 있음 연락을..^^;(출처는 그림에)

 

윈도우 관련 프로세스는 다음 링크를 참조하자.

<윈도우 프로세스 자세히 보기>

윈도우중요 폴더로는..

로그인 계정에 관련 파일을 저장하는 C:\Documents and Settings 폴더

 

C:\Documents and Settings\사용자\ 하위디렉토리 내용은 다음과 같다.

\Cookies : 쿠키 정보

\local Settings : 응용 프로그램 데이터, 기록 및 임시파일

\Recent : 최근 사용한 문서 및 액세스한 폴더에 대한 바로가기

\Templates : 사용자 템플릿 항목

 

운영체제가 설치된 C:\Windosw 폴더와 하위 디렉토리 내용은 다음 과 같다.

Downloaded Program Files : 인터넷에서 다운로드 받은 플러그인, ActiveX등 저장

System32 : Window 실행에 핵심이 되는 DLL, Driver가 저장되어 있는 폴더

System32\config : 윈도우의 레지스트리 파일 저장

 

그리고 윈도우에 설치되는 각종 응용 프로그램이 저장되는 C:\Progrma Files 등이 있다.

 

다음으로, 윈도우의 휘발성 데이터와 비휘발성 데이터에 대해서 알아본다..

증거 수집전 중요한 사항으로 다음이 있다.

 

“로카르 법칙(Locard’s  Exchange Principle )은 접촉하는 두 개체는 서로 흔적을 주고 받는다”

 

사용자 또는 조사자 그 누구든 간에 동작중인 시스템을 다루면 해당 시스템은 변화가 발생하므로, 조사자 또는 초기 대응자는 이 법칙을 염두해야 한다.

 

휘발성 데이터란 전원이 끊어지면 손실되는 데이터로 시스템 명령어 및 Tool 활용해서 수집한다.

휘발성 데이터 수집은 현재 진해오디고 있는 (실시간, Live) 정보를 통해서 추적(해킹,바이러스등)

 

Order of volatile (휘발성 순위)

-         휘발성 데이터는 동작중인 시스템의 메모리에 존재하고, 존재하는 휘발성 데이터들의 수명은 그 특성에 따라 다르다.따라서 휘발성 증거 수집에 있어 우선순위 고려 해야 함

 

일반적 환경에서의 Order Of Volatile

-         Register, cache

-         Routing table, arp cache, process table, kernel statistics, memory

-         Temporary file system

-         Disk

-         해당 시스템의 Remote logging and monitoring dta

-         Physical configuretation, network topology

-         Archival media

 

Windows 휘발성 데이터

1> 날짜 시간관련

-         date /t : 날짜, time/ t : 시간

현재 시간과 비굥하여 시스템 시간과 표준 시간이 차이나면 따로 기록해야함

시스템 시간 부팅시 CMOS 통해서 확인가능

실제 시간 비교 telnet time.kriss.re.kr 13

 

2> 시스템 관련

-         psinfo -h –s –d  : 서비스팩 설치 현황 및 소프트웨어 설치 현황으로 사고상황 파악

 

3> 사용자 관련

-         set user : 로그인한 사용자의 도메인, 이름, 프로파일

-         net user : 로컬 컴퓨터의 사용자 정보수집

-         ntlast 현재 시스템 사용자 로그 확인

-i : 성공한 사용자 –r : 원격지 로그인 –f : 로그인 실패 기록

-         psloggedon : 현재 접속한 사용자(공유폴더 포함)

-         net sessiong : 외부 접속 사용자 목록

 

4> 공유폴더 관련

-         logonsession –p :현재 접속된 모든 User의 접속 시간, 실행된 프로세스 정보획득

-         net share [공유 이름] : 로컬 컴퓨터의 모든 네트워크 공유 자원에 대한 정보

-         hung : 공유 폴더 및 사용자 정보

-         관리목저 기본폴더

내컴퓨터 -> 관리도구 -> 공유폴더 -> 공유 or 시작 -> 실행 -> fsmgmt.msc

-         psfile : Remote에서 opne한 파일정보

단점:Open후 오랜 시간 유지하면 정보 안보임, 극복은 주기적 batch file

-         openfiles : remote에서 open한 파일 정보 , net file 시스템 명령과 동일

 

5> 네트워크 관련

-         ipconfig(/all) : local ip 정보 및 mac 주소

-         route PRINT(netstat –r ) : 라우팅 테이블 정보 , 패킷 흐름 변경 확인

-         arp -a : arp cahce table 정보 보여줌

-         netstat (-ano) : 현재 사용중인 tcp/u에 정보

-         fport : 대기중인 포트(Listening 상태)를 어떤 응용 프로그램이 사용하는지에 대한정보

-         Tcp Viewr : 프로세스가 사용하는 ㅔ트워크 정보

 

6> 프로세스 관련

-         pslist (-t) : 실행중인 모든 프로세스 목록 cpu 점유, 메모리 사용량에 대한 정보 수집

-         Listdlls : 현재 프로세스가 사용중인 DLL 목록

-         Handle : 현재 프로세스가 사용중인 모든 객체 참조 목록

-         Process explorer : 프로세스 정보

-         Process monitor : 프로세스 작업 모니터링

-         File monitor : 프로세스에 대한 operation 감시

-         Net start : 현재 윈도우 시스템에서 실행되고 있는 서비스 정보 수집

-         Psservice – 현재 윈도우 ㅣ스템에ㅓ 시행되고 있는 서비스 정보 수집

 

7> 파일 관련

-         Hfind : 숨김 파일 위치 및 정보

-         TimeLine 분석 : 탐색기 -> 도구 -> 폴더 옵션 / 검색 -> 검색 옵션

 

8> 클립보드

-         Clipbrd(시작->실행->cliprd)  : 현재 윈도우 시스템의 클립보드 내용 표시

주의 :  ESC Key 누르면 Clipbrd 내용 지워질수 있음

 

9> Command History

-         doskey /history : 현재 Dos  명령창에서 이전 입력한 명령어 리스트 출력

주의 : 현재 명령창 종료 되면 메모리서 삭제

 

10> 관련 도구

-         md5sum –c / sha1sum -c : 변경된 파일 체크

-         FRED

-         FIRE

-         IRCR

 

레지스트리,인터넷접속, 윈도우파일분석등은 다음 포스팅으로…

음..지난번 말씀 드린 바 와 같이 파일시스템 및 윈도우 포렌식에 대해서 이어가도록 하겠습니다.

 

파일시스템에 대해 알아보고, 하드디스크, 부트 로더, FAT 파일시스템 정도까지 이어 가 보겠습니다.

 

파일시스템이란 “자료의 기록이 가능한 저장매체의 근간을 이루는 것으로, 매체 내에 데이터가 저장 및 관리되는데 있어 프로세스 권한에 따라 데이터를 노출, 은닉, 압축, 암호화하며 구조적

손실 시 이를 다시 원래 상태로 회복 시키는 등의 역할을 수행, 수반 보조가 필요한 총체적인

데이터 운용 기술이 적용된 시스템이다.”

 

다시 정리하자면 파일시스템은 저장장치 내에서 데이터를 읽고 쓰기 위해 미리 지정된 약속이다.

 

그럼 파일시스템에 대한 분류를 알아보자

일반적인 파일시스템으로 FAT, HPFS, NTFS, UFS, Ext2,3 등이 있으며, 플래시 파일시스템, CD-ROM 파일시스템, 네트워크 파일시스템, 가상 파일 시스템등이 있다.

 

하드디스크에 구조에 대해서 언급하고 넘어 가기로 한다. 자세한 구조는 다음 링크 참조하자.

 

<자세한 구조 보기>

 

하드 디스크는 간략히 실린더, 트랙(=헤드,head) , 섹터로 이뤄져 있으며 1클러스터 = 4섹터이다.

 

논리적 섹터와 물리적 섹터의 장단점은 다음과 같다.

분류	물리적섹터	논리적섹터
장점	모든 섹터 다룸	사용 편리
단점	사용이 어려움	분할된 섹터만 다룸

 

부트로더(부트스트랩 로더)은 ROM에 저장되며, 커널을 메모리에 올려주는 역할을 하는 프로그램으로, MBR에 존재하며 커널 로더라고도 불린다.

운영체제를 메모리에 올려놓는 역할을 하는 기계어 코드들의 집합을 IPL이라고 하고,

각 하드 디스크의 첫번째 섹터인 MBR에 존재한다.

부트로더 분석시 필요내용은 다음과 같다.

실제 부트 섹터는 메모리 0000:7C00 (메모리에 MBR값 올리는 위치) 에서 수행된다.

모든System에서 동일하게 0000:0413에는 주기억 메모리가 저장되어 있다.

0000:004c에는 INT 13h의 세그먼트와 오프셋이 저장되어 있다.

 

다음으로 파티션에 대해 알아보자.

파티션은 컴퓨터에서 디스크나 메모리 등의 저장매체를 나누는 것이다.

종류로는 Dos 파티션, Apple 파티션, BSD파티션, 솔라리스 디스크 레이블 등이 있다.

 

 

Dos 파티션 테이블

FAT파일시스템에 대해서도 들여 보자..

관련 내용 및 표의 출처: IT EXPERT, 임베디드 개발자를 위한 파일시스템의 원리와 실습 에서이다.

임베디드 개발자를 위한 파일시스템의 원리.pdf

                                                       FAT 파일시스템 비교

클러스터 크기가 크거나 작음에 따라서 장단점이 있다. 우선 클러스터의 크기가 작은 경우의 장점은 클러스터 할당 때문에 버려지는 용량이 적다는 것이고, 단점은FAT 영역의 크기가 커진다는 것이다.

 

반면에 클러스터의 크기가 큰 경우의 장점은 FAT 영역의 크기가 작다는 점과 클러스터의 크기가 작은 경우에 비해 파일당 할당하는 클러스터 수가 적기 때문에 그에 따른 작업의 오버헤드(overhead)가 적다는 점이다. 단점은 크기가 작은 파일이 많은 경우 버려지는 용량이 많아진다는 점이다. 이렇게 버려지는 부분을 슬랙(slack)이라고 한다.

                                                클러스터 크기에 따른 장단점

이것으로 허접하게 윈도우 파일시스템을 정리해봅니다..

 

다음에는 윈도우 포렌식으로 넘어가보겠습니다.

 

http://www.sistest.kr/ 게시판에 확인 한 결과...


할인접수에 관한 명예의전당 등극 일자는 4월 6일 이전까지 등극을 해주셔야 접수가 가능하십니다.
KISA와 협의하여 내용을 조정하였으니 최종버전으로 공지의 내용도 수정 되었습니다.
이점 양해 부탁드리며 시험에 응시하시어 좋은 결과 있으시길 바랍니다.

sis 시험 응시료 할인 관련해서..서로 내용이 틀리네요...

sistest.kr에서는 5/6일까지 명예의 전당에 등록되면 된다고 되어 있는데요..
sis.or.kr에서는 4/6일 이전 명예의 전당에 등록되어야한다고 되어 있네요..

ㅎㅎ


=================================
www.sistest.kr에서 올라온 내용..

09년도 상반기 정보보호전문가 자격검정 할인적용에 관한 공지내용을 올립니다.

할인적용을 받는 수험자께서는 참고하시어 시험에 응시하여 주시기 바랍니다.


1. 할인 대상자

- 명예의전당 등극자, KISA에 등록된 동아리 및 우수동아리, 15인 이상 단체접수


2. 적용 기준

- 명예의 전당에 5월 6일 까지 등극하고, 담당자에게 신청서를 제출자만 할인 적용가능

- 동아리 적용대상자 5월 6일까지 KISA담당자에게 신청서를 제출한 자에 한하여 적용가능


3. 접수방법

- 명예의 전당 홈페이지에서 공지의 글을 확인 한 뒤, 담당자에게 신청서를 메일로 송부하고 접수여부를 확인

- SISTEST.KR에서 결재하기 이전 단계까지 수험정보를 입력하고 할인 적용된 검정료를 계좌송금

- 입금계좌: [우리] 1005-301-414799


4. 할인접수 관련 문의

- 명예의전당 : 02-405-5578

- 동아리 및 우수동아리 : 02- 405-5524

- 15인 이상 단체접수 : 02-2142-0904


5. 입금 확인

- 검정료 입금에 대한 확인 : 02-2142-0904 , hjs6177@kisia.or.kr




=====================================
www.sis.or.kr에서 올라온 내용..

명예의전당 등극자 정보보호전문가(SIS) 응시료 할인 안내


안녕하십니까, 정보보호기술온라인학습장입니다.

정보보호기술온라인학습장에서는 훈련공간의 명예의 전당 등극자에 대한 혜택 부여를 위해
국가 공인 자격제도인 정보보호전문가자격(SIS) 08년도 시험 응시료의 50% 할인을 추진하고 있습니다.

명예의 전당 등극자 분들중 08년 정보보호전문가(SIS) 1급, 2급 시험에 응시할 예정이신분들은
아래 내용을 참조하셔서 할인 혜택을 부여 받으시기 바랍니다.

할인신청은 아래 접수기간 동안에 `신청양식`을 작성하셔서 메일로 송부하여 주시기 바랍니다.


[ 아 래 ]

- 대 상 : 시스템 보안, 네트워크 보안, 어플리케이션 보안, 윈도우 보안, 홈페이지 보안
디지털포렌식, (구)관리방어 훈련공간 중 1개 이상 훈련공간에서 명예의 전당에 등극한 자

- 신청양식 : 다운로드

- 접수기간 : 2009년 4월 6일 ~ 5월 6일

- 접 수 : sis@kisa.or.kr

시험에 응시할 경우에는 메일로 첨부된 양식을 작성하여 보내주시고 이후
자격검정 홈페이지(www.sistest.kr)에서 온라인 접수를 하셔야 합니다.

※ 접수기간(4월 6일) 이전에 명예의전당에 등극한 분에 한해 할인혜택이 부여가 됩니다.
※ 접수메일 발송시 본인의 아이디 정보와 등극한 훈련공간을 필히 기재하여 주십시오.
※ 응시원서 접수시 할인대상자는 홈페이지에서 결재하지 마시고 별도계좌에 입금하셔야 합니다.

※ 2008년 3월 17일 이전까지 `관리방어 훈련공간"에서 명예의전당에 등극하신 분들도 할인대상에 포함됩니다.


수험자 여러분들께서는 이점 참고 하시어 불폄함이 없으시길 바랍니다.


자격증 응시에 관련된 기타사항은 정보보호전문가 자격검정 홈페이지(www.sistest.kr) 또는
자격검정 주관사인 한국정보보호산업협회(02-2142-0910)로 문의하시면 자세하게 안내해 주실 것 입니다.

작성자 : 투라 (extraman@boanin.com)

 

투랍니다..

포렌식 관련 두번재 포스팅입니다..

지난번 포스팅에서는 간단히 포렌식의 영역, 궁극적인 목표, 디지털증거, 우리나라에서의 디지털 증거가 인정된 계기, 조서 진술서의 증거 능력 인정 방법과 용어 정리를 해드렸습니다.

 

오늘 포스팅에서는 컴퓨터 포렌식이란 무엇인지, 컴퓨터 포렌식 웍칙 , 증거수집 원칙, 포렌식절차등에 대해서 알아보겠습니다.

 

컴퓨터 포렌식이란, 하드디스크등 컴퓨터 저장매체에 들어 있는 데이터를 대상으로 복구 검색 그리고 조사하는 기법을 말한다.

 

컴퓨터 범죄 수사에 입각한 정의는 “컴퓨터 관련 수사를 지원하며 디지털 자료가 증거로써 증명력을 같도록 과학적이고 논리적 절차와 방법을 연구하는 학문” 이다.

 

그렇다면 컴퓨터 포렌식의 기본 원칙이란 무엇인가?

 

1.     정당성(正當性)의 원칙

입수증거가 적법절차를 거쳐 얻어져야함, 위법수집증거 배제법칙, 독수독과이론

 

2.     재현(再現)의 원칙

피해직전과 같은 조건에서 현장 검증을 실시하였다면, 피해당시와 동일 결과가 나와야함

 

3.     신속성(迅速性)의 원칙

휘발성 정보수집은 지체없이 신속하게 진행되어야 함

 

4.     연계 보관성 ( chain of custody)

증거물 획득, 이송, 분석, 보관, 법정제출의 각단계에서 담당자 및 책임자 명확히

 

5.     무결성의 원칙

수집 증거가 위,변조 되지 않았음을 증명할수 있어야함

 

6.     동일성의 원칙

증거물은 증거물 입수단계와 동일 해야함

 

포렌식의 기본원칙을 보니, 증거에 대해서 언급을 하고 있습니다.

그렇다며 증거 수집은 어떻게 해야할까요..

 

 

증거물 수집의 기본 원칙에 대해 알아봅시다.

 

1.     적법절차의 준수

법규 지침에 규정된 일반적인 원칙과 절차를 준수하여 증거수집

 

2.     원본의 안전한 보존

증거 수집시 반드시 쓰기방지장치를 이용하여 무결성 유지

원본에 대한 이송 및 보관에 주의 하여 손상방지

 

3.     증거의 무결성 확보

증거수집시 디스크 or 파일에 대해 해시값 구한다.

해시값 출력후 입회인(대상자)의 서명 날인 받는다.

증거 원본에 대한 사본 생성후 이에 대한 해시값 비교하여 무결성 검증

증거분석은 해시값 비교한 사본으로 수행

 

증거물 수집에 대한 기본 원칙까지 알아봤습니다.

 

그렇다면 포렌식 절차에 대해 알아봐야할듯하네요..

 

< cissp협회 세미나중 사이버 포렌식 협회 이정남 사무국장님의 포렌식 기술소개자료중 발췌 >

 

포렌식의 절차는 준비-> 획득-> 이송-> 분석 -> 보관 -> 보고의 절차로 이뤄집니다.

 

준비단계는 출동장비 준비할 때 “쓰기방지 장치”를 챙기는 것을 잊지 말아야겠습니다.

획득단계는 상세 사진촬영, 휘발성 증거 수집, 별도 저장 후 네트워크를 분리, 컴퓨터 시간을 확인해서 
              표준시간(휴대폰시간)와의 편차 등을 상세 기록 해야 한다.

이송단계는 충격으로부터 보호하고, 전자파 영향 등에 유의해야 한다.

분석단계는 원본에 대한 사본 이미지 생성하여 수행하는 것을 원칙으로 하며, 재현 대비해 과정을 상세하고
              명확하게 기록하고 유지 해야 함

보관단계는 항온항습장치, 전자파차단, 증거물 DB 구축하여 운영하며, 증거물 반출입 내역을 기록한다.

보고단계는 결과 보고서를 쉽게 이해할 수 있는 용어로 정확하고 간결하게 논리 정연하게 작성하며
              분석 및 처리 과정을 사진 or 화면 캡처 등으로 첨부한다.

 

이것으로 이번 포스팅을 마무리 하려고합니다..

 

다음에는 윈도우 파일시스템 및 윈도우 포렌식 관련으로 이어 갈까 합니다.

어느새, 토요일 저녁이네요…한주가 너무 바쁘게 지나갑니다…^^;

이런저런 사정으로 꽃놀이도 못가고..그렇습니다..흑…

 

 

투랍니다..

 

원래 법관련 포스팅을 하려고 했는데, 시간이 많이 나지 않아서..

현재 저녁에 수강중인 포렌식 관련 내용으로 포스팅을 당분간 하겠습니다..

내용은 대부분 현재 수강중인 “사이버포렌식 조사 전문가 과정” 교육 내용을 정리한 것입니다.

첫번째는 포랜식 개론입니다.

이정남 사이버포렌식협회 사무국장님이 강의 하신 내용입니다.

(음..저희 보안인 카페 에도 회원으로 가입되셨더군요.)

 

간단히 포렌식 영역을 살펴 보도록 하죠..

Network/System 포렌식 DB 포레식, Anti forensic등의 기술적 측면,

증거보존청구, 피의자,피해자 심문기술, 참고인조사기술 등의  조사적 측면,

공판중심주의, 배심원제도, 증거법과 법정응용등의 법률적 측면으로 나눌 수 있습니다.

 

하지만 포레식의 궁극적인 목표는 법정대응임을 잊지 말아야 할 것입니다.

 

기술적 측면에서 고려 해야 할 것은 “디지털 증거의 수집 기술, 탐지 및 복구기술, 보존기술 및 법정에서의 응용기술”이다. 즉 디지털 증거 특히 컴퓨터 레코더는 그 유형에 따라 법적 접근을 달리 해야한다.

 

1. 컴퓨터 저장기록(Computer-stored Records) : 형사소송법 제 310조 2의 전문법칙 적용

2. 컴퓨터에 의해 생성된 기록 ( Computer-generated Records )

- 행위가 혐의자에 의하여 이뤄진 것인지 (Authentication)에 중점 두어 관찰

 

그렇다면 우리나라에서 디지털증거가 인정 된 계기는…?

일심회 판결로 법원의 컴퓨터 증거 인증을 받았다고 보시면 됩니다.

법원의 검증절차를 거쳐 다음 사항을 인정 받아 증거 능력을 인정

1.     디지털 저장 매체에 수록된 컴퓨터 기록 내용 확인 (가시성,가독성 없음)

증거능력입증 : 무결성 입증

보관상황에 대한 신뢰성 담보 : 압수물 봉인,해제,재봉인 과정 피의자 참여 확인 및 날인

원본과 사본의 동일성 여부 : image 복사 디지털서명

2.     수록 내용과 출력내용 동일함을 입증

3.     검증 컴퓨터의 요구사항

4.     조작자의 전문적 기술 능력

 

사건번호 : 2006고합1365 일심회 장민호등 사건 / 2007도7257 대법원 판결

또 하나 참고삼아 김태환 제주도지사 무죄 선고 사례를 보면 “법이 정한 절차를 따르지 안하고 수집된 증거는 기본적 인권보장을 위해 마련된 적법한 절차에 따르지 않은 것으로서 원칙적으로 유죄 인정의 증거로 삼을 수 없다”라고 대법원 판례가 났습니다.

 

음..포렌식이 법적 대응이 목표다 보니..좀 생소한 용어가 잇는듯하네요..

해서 몇가지 중요한 용어 정리 하고 넘어가겟습니다.

증거(證據) : 사실관계 확정이 근거가 되는 자료

증명(證明) : 증거에 의하여 사실관계가 확인되는 과정

증거능력(證據能力) : 증거가 엄격한 증명의 자료로 사용될수 있는 법률상 자격

증명력 : 법관의 자유 심증

전문법칙 : 사실인정의 기초가 되는 경험적 사실을 경험자 자신이 직접법원에서 진술하지 않고

다른 형태에 의해 간접적으로 보고 하는 것

 

개정 형사소송법(2008.1.1시행)의 증거 법칙에서 조서의 증거능력을 보면..

1.     적법한 절차와 방식에 따라 작성

2.     실질적인 진정 성립이 인정될 것

3.     특신 상황이 인정 될 것

 

그렇다면 조서 진술서의 증거 능력 인정 방법을 정리하자면..

 

구분	검사작성 피신조서 증거능력	수사기관작성 피신조서 증거능력	참고인 진술조서 증거능력	검증조서 증거능력
적법한 절차와 방식에 따라 작성된 것	●	●	●	●
실질적 진정성립이 인정 될 것	●		●	●
특신 상황이 인정 될 것	●		●
반대 신문권의 기회가 보장 될 것			●
내용을 인정한때		●

 

다음 포스팅에서는 사이버(컴퓨터) 포렌식 , 디지털 증거 관련 포스팅이 이어질듯합니다.