섹션 3 - 디지털포렌식 용어

디지털포렌식 용어1

데이터 크기의 표현
Bit < Byte < Kilobyte < Megabyte < Gigabyte < Terabyte < Petabyte
비트에서 바이트로 넘어가는 구간에서는 8바이트 단위로, 나머지는 1024 단위로 넘어간다.
1byte = 8Bit

무결성
최초 증거가 저장된 매체에서 법정에 제출되기까지 변경이나 훼손이 없어야 한다.
무결성이 중요한 이유는 증거 능력이 있어야 하기 때문이다.
- 무결성 입증방법
1. 해시값이 원본과 사본이 동일해야 한다
2. 증거의 수집 및 분석, 봉인 이송과정이 적법하게 진행되었는지에 대한 증명
- 사진, 영상 촬영 및 피조사인의 참여를 보장

쓰기방지
무결성이 깨지는 일을 막기 위해 원본 매체가 읽기만 가능하고 쓰기는 불가능하게 만들기 위해 하는 작업

파일시스템
파일이나 자료를 쉽게 발견하고 접근할 수 있도록 보관 또는 조직하는 체제
윈도우의 파일 시스템 : FAT, NTFS
- 차이점 : FAT 방식의 한계를 극복하고자 NTFS를 개발

레지스트리
운영체제의 설정과 선택 항목을 담고 있는 데이터베이스
실무에서 레지스트리를 통해 얻을 수 있는 정보
- 윈도우 설치 정보와 계정정보
- 부팅시 자동실행되는 응용프로그램 목록
- 최근 사용한 파일, 실행 프로그램 등의 사용자 활동 내역
- 시스템에 사용한 하드웨어 정보

와이핑 & 디가우징
와이핑 : 저장매체에 다른 데이터를 계속 덮어써서 복구 불가능하게 하는 방식
디가우징 : 하드디스크를 일정수준 이상의 자기장에 노출시켜 사용을 불가능하게 만드는 방식

진수
2진수 : 0과 1로 구성
16진수 : 2진수를 4자리씩 묶어서 표현. 1바이트(8비트)를 16진수 두자리로 표현

엔디안
데이터를 컴퓨터에 기록하는 방식
리틀 엔디안 : 작은 단위부터 기록하는 방식으로 주로 사용함
빅 엔디안 : 큰 단위부터 기록하는 방식

물리 & 논리
물리 : 하드웨어적인
논리 : 가상의 구분
크기 : 파일의 실제 용량 = 논리 용량
디스크 할당 크기 : 파일이 하드디스크에 저장되면서 차지하는 용량 = 물리 용량

이미징
증거의 사본을 파일로 생성하는 것
복사 : 논리적 데이터만을 사본매체에 복사
복제 : 모든 물리적인 섹터를 그대로 복제
이미징 : 모든 물리적인 섹터를 파일형태로 복제

섹터
저장매체에서 사용하는 최소한의 데이터 저장단위. 1섹터 = 512바이트
몇 개의 섹터들을 하나의 클러스터 단위로 지정하여 저장함

클러스터
데이터 저장의 최소단위로 몇 개의 섹터를 하나로 묶은 집합
파일의 크기와 클러스터의 크기가 정확하게 같지 않은 이상 버려지는 저장공간이 발생

UTC
국제 시간 표준. 한국 +9
정확도를 위해 시간차 확인이 중요함

디지털포렌식 용어2

로그
운영체제, 프로그램 등의 사용을 시간대별로 기록한 파일
로그가 중요한 이유 : 컴퓨터에 의해 자동적으로 기록된 것이므로 비진술 증거이다 = 증거능력 O

M.A.C. Time
Modify Time : 파일의 내용이 최근에 변경된 시간
Access Time : 파일이 최근에 읽기 위해 열린 시간
Creation Time : 파일이 처음으로 생성된 시간 → 얘가 제일 빨라야 한다! 복사하면 시간이 바뀌니 주의

EXIF
디지털 기기를 이용하여 사진촬영시 촬영정보를 함께 닫는 포맷
촬영기기의 제조사, 모델명, 촬영일시, gps 정보 등을 담고있다

스테가노그래피
사진이나 음악 파일에 메세지 또는 파일을 숨기는 기술

안티 포렌식
디지털 포렌식을 어렵게 하기 위해 행하는 삭제, 변조, 은닉 등의 모든 행위

Hash Value
파일을 식별하고 필터링하거나 포렌식 이미지 또는 복제가 성공적으로 되엇는지 확인하는데 사용하는 임이의 값
사람의 지문 = 파일을 식별하는 고유값
해시값이 같으면 같은 파일, 1byte라도 다르면 다른 파일이다

Artifact
운영체제나 프로그램을 사용하면서 생성되는 흔적
시스템이나 어플리케이션이 자동으로 생성한 생성 증거(비진술=증거능력O) → 얘가 아티팩트에 해당
사람이 직접 작성한 데이터인 보관증거(진술증거=증거능력X)