170512 디지털포렌식의 특성 디지털 포렌식의 특성 - 절차적 연속성 - 연계 보관성- Chain of Custody 증거수집 과정 전반에 걸쳐 수집과정에 대해 모든 과정을 기록하는 것녹화한 영상, 사진, 증거 밀봉 시 라벨링, 이관절차의 기록 등일려늬 과정들이 모두 문서로 입증되어야함대검찰청에서 사용중인 서식 압수 → 이송 → 분석 과정에 다른 외부의 개입등이 없는지 감시하고 검증이 되야 한다. 진정성수집된 증거는 어떠한 변화도 있어선 안됨증거가 조작되지 않았다는 것을 증명해야 함증거의 무결성 보장을 위해 증거 수집시 해쉬값으로 증거와 고유값을 저장MD5 , SHA-1,-2 등 일방향성 암호화 알고리즘을 사용→ 2004년 MD5 알고리즘 무결성 파괴당함 2^40승 연산으로 동일 해쉬값 생성 가능 → 2005년 sha-1 알고리즘 무.. 더보기 170511 타임라인분석 타임라인 분석이란? 사건이 일어난 시점을 중심으로 생성/수정/삭제/접근한 파일을 살펴보는 것이다. 분석대상에 대한 우선순위 선별로 효율적인 분석 가능침해 대응시 공격자가 모든 시간정보를 변경하기 어렵다는점 이용, 공격에 대한 단서 및 추적 용이. 등의 효과를 볼 수있다. 모든 분석작업에서 기본적으로 시간데이터는 함께 분석 되기 때문에 중요하다고 볼 수 있다. 파일에 대한 생성/이동/복사 등에 대한 작업을 실행 할 때 MAC time 은 어떤 상태를 보이는가 복사이동생성시간 변경유지수정시간 유지유지접근시간 변경변경 * 타임스탬프 : 파일 타임 스탬프는 1601년 1월 1일 12:00AM, UTC(Coordinated Universal Time) 을 시작으로 100나노세컨드단위로 64비트값으로 저장된다. 시.. 더보기 170511 FAT32 복구 실습 실습 1. FAT로 데이터 복구하기 실습으로 주어진 이미지 파일을 열어보니 root directory가 비어있음. entry를 확인 할 수 없으니 FAT상의 클러스터 정보로 파일을 추출해 보자. 각 색 별로 5개의 파일이 있음을 확인 할 수 잇다. root directory의 정보가 없기 때문에 단순히 fat와 클러스터를 매칭시켜 데이터를 긁어서 복구 하는 방법을 사용한다. FAT에서 파일의 클러스터 시작과 끝정보를 알아내고 데이터영역에 있는 파일을 긁어서 파일로 생성하면된다. 두번째 파일을 예로 들면 0x28~0x2A의 클러스터 범위를 사용했다.0x27 = ( 39 -2 ) * 4(sector per cluster) = 148 sector + 8320(root directory의 위치) = 8468 s.. 더보기 이전 1 ··· 15 16 17 18 19 20 21 ··· 35 다음
