230503 4주차 과제

● 디지털 증거 획득

 

  -증거 획득 방식

    저장매체 복사 : 원본 읽기→사본 쓰기

        장점 : 신속하고 쉬운 방식, 활성 시스템에서 유용하게 활용

        단점 : 활성 시스템의 무결성 훼손, 삭제된 파일이나 은닉 데이터 확인 어려움

    저장매체 복제 : 원본의 모든 물리적 섹터→사본 저장매체

        장점 : 무결성 유지, 원본의 모든 정보 획득(삭제된 파일 복구 가능)

        단점 : 원본보다 크거나 동일한 사본 저장매체가 필요, 복제 전 사본 저장매체의 완전삭제 필요

    저장매체 이미징 : 원본의 모든 물리적 섹터→이미지 파일

        장점 : 복제와 동일, 쉽게 이미지 복사 가능, 저장매체의 용량 제약 없음

        단점 : 이미지 압축 없이 이미징하려면 큰 저장매체 필요

    저장매체 이미지 종류

        RAW(dd) 이미지 : 원본 저장매체의 비트스트림 이미지, 이미지 파일 자체의 무결성 훼손 우려

        E01(Ex01) 이미지 : EnCase에서 지원하는 이미지 파일, CRC, MD5를 이용하여 이미지 파일의 무결성 유지

 

  -증거 획득 장비

    Rapid Image 7020CS

        각각의 원본(CADDY) 마다 동시 4개의 사본 생성 가능, 원본 하나 당 최대 19개 사본 동시 생성 가능

    SOLO 4 Forensic Super Kit (Expansion Box + SCSI to SCSI Card)

        각각의 원본(SOURCE) 마다 동시 1개의 사본 생성 가능, 원본 하나 당 최대 3개 사본 동시 생성 가능

    Super Tableau Kit

    Tableau Set(SATA/IDE, USB)

    PRO’S Electronics Master Kit – Briefcase Style

  -증거 획득 도구

    FTK Imager

    Tableau Imager (with Tableau write-blockers)

    EnCase (Linen)

    DD (FAU DD)

 

● 디지털 증거 수집 방안

  -온라인 수집

    1. 라이브 데이터 : 시스템 전원이 켜져 있는 상태에서 수집할 수 있는 데이터

                                 이벤트의 원인을 가장 잘 알려줄 수 있는 데이터

       • 라이브 데이터와 증거 능력 : 엄격한 사건의 경우 증거 능력의 논란이 있음

       • 침해사고와 라이브 데이터 : 침해사고는 라이브 데이터를 최대한 활용, 분석에 도움이 되는 정보는 최대한 수집

       • 라이브 데이터 대상

           -물리메모리, 활성데이터, 비활성 주요 데이터, 네트워크 패킷 등

       • 라이브 데이터 수집 시 고려 사항

           -시스템 흔적이 최소한으로 남도록 시스템 스크립트나 커맨드라인 명령 사용

           -수집 대상 시스템의 명령을 사용하지 않고 직접 준비해간 명령 사용  사전 준비

           -중복체크가 가능하도록 명령 중복 실행

           -스크립트 동작 과정에 대한 로그 수집

           -다양한 환경에서 명령 혹은 모듈 안전성의 반복적인 테스트

       • 비활성 주요 데이터 : 비활성 주요 데이터만으로 포렌식 분석의 80% 이상 수행

       • 비활성 주요 데이터 수집 시 고려 사항

           -수집 효율을 위해 라이브 데이터 수집 스크립트에 포함

           -운영체제가 점유하고 있는 파일의 수집 방안 마련

           -수집 시간을 고려하여 수집 데이터 선별

 

    2. 저장장치 복사

       • 압수수색 대상이 특정 폴더나 파일로 제한될 경우

           -라이브 상태에서 특정 시간 대역이나 사용자 행위를 중심으로 파일 검색 후 추출

       • 저장장치 이미징이 불가능하거나 빠른 분석이 필요한 경우

       • 복사 도구

           -ROBOCOPY

           -GImageX

    3. 저장장치 이미징

       • 원격 이미징 도구

           -F-Response Series

           -DD(Disk Dumper) + NetCat

 

  -오프라인 수집

 

1. 저장장치 복사

       • 압수수색 대상이 특정 폴더나 파일로 제한될 경우

       • 저장장치 복제/이미징 작업 동안 사전 분석을 위한 데이터

       • 장점

           -필요한 데이터만 비교적 손쉽게 수집 가능  신속한 분석

       • 단점

           -파일과 디렉터리 단위의 정보만 획득하는 일반적인 복사

           -원본의 메타 정보를 별도로 관리해야 함

           -삭제된 파일이나 슬랙에 은닉된 데이터는 확인할 수 없음

 

2. 저장장치 복제

       • 장점

           -원본과 동일하기 때문에 삭제된 파일 복구 가능

           -일반적으로 이미징보다 속도가 빠름

           -현장 대응 방식으로 주로 사용

        • 단점

           -매 복제마다 원본보다 크거나 동일한 사본 저장장치 필요

           -사본 저장장치의 부담

           -사본 저장장치 특성에 의존 (저장장치 오류 및 배드섹터)

           -복제 전 사본 저장장치의 완전삭제 필요

 

3. 저장장치 이미징

       • 장점

           -원본과 동일하기 때문에 삭제된 파일 복구 가능

           -사본 저장장치의 완전삭제가 필요 없음

           -여러 명이 분석할 경우 증거를 쉽게 분배/공유 가능

           -압축 기능을 이용해 분배 및 저장 효율 증대

           -암호화 기능을 이용해 안전성 강화

        • 단점

           -압축을 하지 않을 경우, 원본 저장장치보다 더 큰 저장장치 필요

       • 포렌식 이미지 형식

           -RAW(dd)

           -Expert Witness E01(Ex01)

 

   -오프라인 수집 도구

       • 쓰기방지장치(Write Blocker/Protector, WB)

           -Tableau Forensic Bridge – Guidance Software

       • 복제/이미징 도구

           -Image MASSter Solo-4 – ICS