보안 학생

데이터 수집 방법과 수집 도구엔 어떤것이 있을까 ? 

데이터를 획득하는 과정으로는 크게 2가지로 나뉩니다. 

1. 정적 획득( 시간이 지나도 데이터의 내용은 바뀌지 않음. )

2. 라이브 획득( 시간이 지나면 데이터가 소멸이 됨. )

데이터 수집하는 방법 4가지 

1. 디스크-이미지 파일 생성 (디스크에서 바로 이미지 파일을 뜨는 것.)

- 가장 일반적인 방법이며 최고의 유연성을 제공함

- 두개 이상의 사본 생성이 가능함 (생성된 사본을 카피를 떠서 하나의 사건 파일을 동시에 여러명이서 작업이 가능함. (대신 각 사본들이 원본과 같다고 증빙해야한다.  해시값을 같아야 법적효력이 있음))

- 복사본은 원래 드라이브의 비트단위 복제임

- ProDiscover, EnCase, FTK, SMART, Sleuth Kit, X-Ways, iLooklX << 툴 이름

2. 디스크-디스크 생성

- 디스크-이미지 복사 (1번)가 불가능한 경우에 사용하는 대안

- 이런 툴은 디스크 외형 형상 구성을 조정할 수 있음

- EnCase, SafeBack, SnapCopy << 툴 이름

3. 논리적(가상디스크, 어떤 데이터의 특정 영역을 골라)

디스크-디스크 또는 논리적 디스크-데이터 파일 생성 (디스크를 데이터로 변환)

- 몇 시간이 소요될 수 있으며, 시간 제약이 있을 때 어울리는 방법

- 논리적 수집은 사건과 관련된 특정 파일만 캡처

- 희소성 획득은 비할당된 (삭제된) 데이터 조각을 수집함

- 대용량 디스크에 대하여 적용됨

- PST 또는 OST 메일 파일, RAID 서버

4. 파일 또는 폴더의 희소 데이터 사본 만들기

사본 제작시 고려사항

- 소스 디스크의 크기

         무손실 압축(100% 복원할 수 있는)이 필요함

ex) 일반 포맷 ZIP, GZ, RAR, ARJ 이미지에선 PNG

         검증을 위하여 디지털 서명을 사용할 것

- 대용량 드라이브 작업 할 때, 대안은 테이프 백업 시스템을 사용할 것

  (오래 보관하는데 상당히 유리함)

- 디스크를 유지할 수 있는지 여부를 확인 할 수 있어야 한다

( 가장 일반적인 방법은 1번 )

최선의 방법을 결정하는 것은 조사 상황에 따라 달라짐

이미지 획득을 위한 비상계획

1. 증거 이미지 파일의 사본 만들기

2. 디지털 증거 이미지를 두 개 이상 만듬 -> ex) MD-5, SHA-1, SHA-2, SHA-3

만약 하나가 깨졌을때를 대비해서.

3. 디스크 드라이브의 호스트 보호 영역도 복사함

- BIOS 레벨에서 드라이브에 액세스 할 수 있는 하드웨어 획득 도구 사용을 고려할 것

4. 암호화된 드라이브를 처리할 준비도 필요함

- Windows의 BitLocker라는 전체 디스크 암호화 기능으로 인해 정적 수집이 더 어려워지고 있음.

- 어떤 경우에는 사용자가 암호 해독키를 제공해야 할 수도 있음.

Ex) 악의적 목적을 가진 용의자에게 암호를 받아 제공해야 할 수도 있음.

포렌식 데이터 획득 수집도구 대표적 예시 3가지

Windows용 획득 툴 ( Acquisition tools for Windows )

장점 :

- 용의자 드라이브에서 증거를 보다 편리하게 획득 할 수 있음

         (특히 핫스왑 가능한 장치와 함께 사용하는 경우)

단점 :

- 잘 테스트된 쓰기 차단 하드웨어 장치로 수집 된 데이터를 보호해야함

- 도구는 디스크의 호스트 보호 영역에서 데이터를 수집 할 수 없음

- 일부 국가에서는 데이터 수집에 쓰기 차단 장치 사용을 허용하지 않았음

(잘못하면 오버라이트해서 기능을 망가트리게 될 수 있기 때문)

Mini-WinFE(미니-WinFe)

- 연결된 드라이브가 읽기 전용으로 마운트 되도록 Windows 포렌식 부팅 CD/DVD 또는 USB 드라이브를 구축 할 수 있음

- 용의자의 컴퓨터를 부팅하기 전에

           USB드라이브와 같은 대상 드라이브 연결

- Mini-WinFE가 부팅 된 후

연결된 모든 드라이브를 나열하고 대상 USB 드라이브를 읽기-쓰기 모드로 변경하여 수집 프로그램을 실행할 수 있음

리눅스 부팅 CD로 데이터 획득

- Linux는 마운트되지 않은 드라이브에 액세스 할 수 있음

- Windows OS 및 최신 Linux는 드라이브를 자동으로 마운트하고 액세스함

- Forensic Live CD는 미디어에 자동으로 액세스하지 않음

           쓰기-차단에 대한 필요성을 제거함

- Linux 라이브 CD 배포분을 사용하여

           포렌식 리눅스 라이브 CD – 부가적인 유틸리티를 포함하고 있음

사이버 포렌식 데이터 저장 형식 3가지

포렌식 수집 도구의 데이터는 이미지 파일로 저장되는데 3가지 형식이 있습니다.

1. Raw format (원시 형식)

2. Proprietary formats ( 독점 형식 : 예) E01, .AD1 등)

3. Advanced Forensics Format (AFF : 고급 포렌식 형식)

장단점

1. Raw format (원시 형식)

- 비트 스트림 데이터를 파일에 쓸 수 있음.

장점 :

- 빠른 데이터 변환이 가능함

- 소스 드라이브의 사소한 데이터 읽기 오류를 무시함

- 대부분의 컴퓨터 포렌식 도구는 원시 형식을 읽을 수 있음

단점 :

- 원본 디스크 또는 데이터만큼 많은 스토리지가 필요함

- 도구가 한계(불량) 섹터를 수집하지 못할 수 있음

2. Proprietary Formats (독점 형식)

- 대부분의 포렌식 도구는 고유 형식을 사용함.

제공되는 기능 :

- 이미지 파일을 압축하거나 압축하지 않는 옵션

- 이미지를 더 작은 세그먼트 파일로 분할 가능함

- 메타 데이터를 이미지 파일에 통합 가능함

단점 :

- 상이한(서로 다른) 툴 사이에 이미지를 공유 할 수 없음

- 각 세그먼트 볼륨에 대한 파일 크기 제한

Expert Witness 형식은 비공식 표준임.

3. Advanced Forensics Format (AFF : 고급 포렌식 형식)

- Simson L. Garfinkel 박사가 오픈 소스 수집 형식으로 개발

설계 목표 :

- 압축 또는 비압축 이미지 파일 제공함

- 디스크-이미지 파일에 대한 크기 제한 없음

- 메타 데이터를 위해 이미지 파일 또는 세그먼트 파일에 공간 제공함

- 확장성을 고려한 단순한 설계임

- 다중 플랫폼과 OS를 위한 오픈 소스임

- 자체 인증을 위한 내부 일관성 검사를 실시함

디지털 포렌식 수행 과정

1. 사전 준비 - 디지털 기기 및 데이터의 유형 숙지 - 디지털 포렌식 교육 및 연구 개발

2. 증거 수집 - 수집 대상 파악 - 압수 대상 선정 - 증거 목록 작성 - 물리적 증거 수집 - 관련자 면담 - 문서화

3. 증거의 포장 및 이송 - 압수물 개별 포장 - 전자파 및 충격방지 포장 - 증거물 포장 및 운반

4. 조사 분석 - 데이터 이미징 - 데이터 추출 및 분류 - 데이터 조사 및 증거 검색

5. 정밀 검토 - 분석 결과 검증 및 분석과정에 대한 검토 6. 보고서 작성 - 용어 설명 - 객관적 설명 - 결과 정리

디지털 포렌식 수행과정

1. 사전 준비

- 디지털 기기 및 데이터의 유형 숙지

- 디지털 포렌식 교육 및 연구 개발

2. 증거 수집

- 수집 대상 파악

- 압수 대상 선정

- 증거 목록 작성

- 물리적 증거 수집

- 관련자 면담

- 문서화

3. 증거의 포장 및 이송

- 압수물 개별 포장

- 전자파 및 충격방지 포장

- 증거물 포장 및 운반

4. 조사 분석

- 데이터 이미징

- 데이터 추출 및 분류

- 데이터 조사 및 증거 검색

5. 정밀 검토

- 분석 결과 검증 및 분석과정에 대한 검토

6. 보고서 작성

- 용어 설명

- 객관적 설명

- 결과 정리