디지털 포렌식의 특성
- 절차적 연속성
- 연계 보관성
- Chain of Custody
증거수집 과정 전반에 걸쳐 수집과정에 대해 모든 과정을 기록하는 것
녹화한 영상, 사진, 증거 밀봉 시 라벨링, 이관절차의 기록 등
일려늬 과정들이 모두 문서로 입증되어야함
대검찰청에서 사용중인 서식
압수 → 이송 → 분석 과정에 다른 외부의 개입등이 없는지 감시하고 검증이 되야 한다.
진정성
수집된 증거는 어떠한 변화도 있어선 안됨
증거가 조작되지 않았다는 것을 증명해야 함
증거의 무결성 보장을 위해 증거 수집시 해쉬값으로 증거와 고유값을 저장
MD5 , SHA-1,-2 등 일방향성 암호화 알고리즘을 사용
→ 2004년 MD5 알고리즘 무결성 파괴당함 2^40승 연산으로 동일 해쉬값 생성 가능
→ 2005년 sha-1 알고리즘 무너짐 2^63승 연산으로 동일 해쉬값 생성 가능(1년소요)
정당성
디지털 증거는 적법한 절차에 의해 수집 되어야 함.
위법수집증거 배제법칙/독수독과 이론
신뢰성
디지털 증거 수집 및 분석에 사용된 도구나 방법은 신뢰할만해야 하며, 제3자에 의해 수행되더라도 같은 결과가 도출 되어야함.
포렌식 도구가 정확하게 디지털증거를 수집하고 분석하는지에 대한 검증이 필요
미국 NIST에서는 포렌식 도구에 대한 검증을 수행하고 있음
CFTT(Computer Forensic Tool Testing) 프로젝트를 통해 도구의 신뢰성에 대한 아래의 테스트 결과를 공개하고 있음
- 디스크 이미징
- 포렌식 미디어준비
- 쓰기방지장치(S/W, H/W)
- 삭제된 파일 복구
- 파일 카빙
- 문자열 검색 등
재현성(동일성)
누가 분석하든 결과가같아야한다.
일반적인 디스크 포렌식의 경우 디스크 이미징을 통해 원본이 아닌 소본을 분석하므로 원본에 대한 훼손없이 동일한 결과가 도출되며 제3자가 분석을 할 경우에도 동일한 결과가 도출되어야한다.
메모리수집시에는 필연적으로 메모리를 변조 시킬수 밖에없음.
두가지 견해
1. 무결성을 훼손하는건 절대안되 !! (증거로 쓸 수 없다!)
2. 최소한으로 훼손하면서 분석하는건 괜찮아 ~ (변형에 대한 증명을 하면 증거로 인정)
'Kitri_NCS3기 보안과정 > 디지털포렌식' 카테고리의 다른 글
| 170619 윈도우 시스템 분석 (0) | 2017.06.19 |
|---|---|
| 170512 컴파운드 파일 분석 (0) | 2017.05.12 |
| 170511 타임라인분석 (0) | 2017.05.11 |
| 170511 FAT32 복구 실습 (0) | 2017.05.11 |
| FAT32(LFN의 개념과 HxD에서 파일생성하기) (0) | 2017.05.10 |
