6. 사이버 포렌식
1. 디지털 증거수집 및 분석규정 - 대검찰청예규
1.1 디지털포렌식 수사관의 임명
1. 대검찰청에서 실시하는 교육을 이수한자
2. 국내외 컴퓨터관련 교육과정을 이수, 디지털 포렌식 관련지식이 충분하다고 인정되는자
(학력이 충분한 자 또는 경력자)
3. 수사실무 3개월 이상 수행한 경력이 있는자
3 가지중 한가지에 속하면 디지털 포렌식 수사관이 될 수 있다.
1.2 과잉금지의 원칙
수사에 필요한 최소한의 범위내에서 실시되어야하고, 적법적으로 실시되어야함
1.3 저장매체의 압수, 수색, 검증
영장의 범위내에서만 복제, 압수하여야한다.
★2. 포렌식 절차
2.1 준비
사전조사, 조사 권환 획득
2.2 식별, 수집 - HDD같은 물리적 장치
영장제시 -> 현장통제 -> 현장분석 -> 시스템 통제
모든 과정은 문서화 되어야한다.
휘발성 데이터 종류
시스템 정보 |
네트워크 정보 |
프로세스 세부 정보 |
- 시스템 시간 - 현재 실행중인 프로세스 리스트 - 현재 실행중인 서비스 리스트 - 현재 로그인한 사용자 계정 - 클립보드 내용 - 명령어 콘솔 사용 정보 | - 네트워크 카드 정보 - ARP 테이블 - TCP 연결상태 - UDP 연결상태 - 열린 TCP 포트와 연결된 프로세스 정보 - 열린 UDP 포트와 연결된 프로세스 정보 - 인접 네트워크 시스템 정보 - 열린 공유 자원 정보 - 원격 사용자 정보 - 원격 접근 파일 - 사용중인 외부 자원 | - 프로세스 실행파일의 전체 경로 - 부모 / 자식 프로세스 - 프로세스가 로드한 라이브러리 - 사용중인 네트워크 연결 정보(TCP/UDP) - 프로세스 실행 시작 시간 |
시스템 전원 OFF
하드디스크 분해
시스템 전원 ON
부팅시 BIOS(CMOS) 진입
BIOS에서 시간 정보 비교 및 표준시간을 확인한다.
2.3 이송
2.4 획득, 분석 - HDD안의 논리적 자료, 데이터, Signature
파일카빙으로 삭제되어 링크가 끊어진 파일을 찾아낼 수 있다.
증거분석의 문서화 및 실험방법
Hypothesis(가설), 검증을 통해 실험한다.
귀무가설(NULL HYPOTHESIS) - 선입관을 가지지 않고 실험한다.
2.5 분석서 작성 - 쉽고 용이하게 작성
2.6 보존
'수 > 사이버 포렌식' 카테고리의 다른 글
2. 사이버포렌식 (0) | 2017.11.01 |
---|---|
1. 사이버 포렌식 (0) | 2017.10.28 |
5. 사이버포렌식 (0) | 2017.09.25 |
4. 사이버 포렌식 (0) | 2017.09.25 |
3. 사이버 포렌식 (0) | 2017.09.15 |