1. 증거 보전을 위해 우선 복제 작업 (이미지 작업)
증거 보전을 수행하기 위해 가장 먼저 하는 작업은 복제 작업 또는 이미지 작업을 합니다.
복제 작업 및 이미지 작업의 내용은 동일하지만 차이점을 꼽는다면, 복제 작업의 경우 다른 HDD에 복제를 하고 이미지 작업의 경우에는 .Raw(dd) 및 .AFF 등의 이미지 파일의 데이터로 저장합니다.
이 두 작업의 강점은 HDD의 Slack space와 미사용 영역을 포함한 데이터를 정확하게 얻을 수 있다는 점입니다.
* Slack space : 데이터의 물리적 크기에서 논리적인 크기를 뺀 나머지 공간
* 미사용 영역 : 파일시스템에서 파일에 할당되지 않은 공간
이 두 영역은 과거에 존재한 데이터와 그 흔적이 남아있을 수 있기 때문에 삭제된 파일의 복구 및 조사를 할 때 필수적입니다.
2. 데이터 분석 시작
1) 데이터 복원
포렌식 분석 도구를 사용하여 삭제된 데이터의 복구 및 조사를 실시합니다.
삭제된 데이터를 복구하는 방법은 2가지가 있습니다. 관리 정보를 바탕으로 복구하는 방법과 데이터가 가지는 특징적인 흔적을 파악하고 복구하는 방법이 있습니다.
◆ 관리 정보를 바탕으로 복구하는 방법 :
이것은 스캔이라는 기술입니다. OS가 Windows이면 숨겨진 파일에, 관리 정보가 포함되어 있는 파일시스템이 존재하고 있습니다. 파일시스템의 정보로 데이터 복구가 가능합니다.
그러나 파일시스템 정보 내에서 데이터 내용 부분에 덮어쓰기가 되어있으면 복구할 수 없는 상태입니다.
◆ 특징적인 흔적에서 복구 :
이것은 데이터 조각이라는 기술입니다. 파일시스템의 덮어쓰기가 되어 있어도 사용되지 않는 공간에 데이터 또는 데이터의 일부가 남아있는 경우 등에 이용하여 복원할 수 있는 방법입니다.
2) 데이터 분석
디지털 포렌식 조사의 분석에 주로 이용되는 것이 타임라인 분석 및 문자열 검색입니다.
◆ 타임라인 분석 :
파일시스템 및 로그 파일 등의 타임스탬프 정보를 바탕으로 조사 · 분석하는 방법입니다.
◆ 문자열 검색 :
Word, Excel, PDF, mail 등의 섹터 정보는 특정 문자코드로 이루어져 있습니다. 미사용 영역이나 Slack space를 대상으로 문자코드 검색을 실시하여, 과거에 삭제된 데이터의 흔적이나 데이터 내용을 확인할 수 있을 가능성이 있습니다.
출처 참조 번역
デジタルフォレンジックはどんなことするの?技術内容を伝えます!
http://www.forensic24.com/blog/datarecovery/20191023/1504/
デジタルフォレンジックはどんなことするの?技術内容を伝えます! – デジタル フォレンジ��
データ復旧 データ復旧の技術 デジタルフォレンジック ITお役立ち情報 パソコン(PC) クローン データ保全 デジタルフォレンジックはどんなことするの?技術内容を伝えます! 投稿日:2019
www.forensic24.com
'IT' 카테고리의 다른 글
| 샤오미 스마트폰으로 Wi-Fi 연결은 위험...보안 앱에 취약성 (0) | 2020.09.07 |
|---|---|
| 클릭하는 것만으로, 정보 유출 및 PC를 제어당하는 피해로 이어지는 '클릭 재킹' (0) | 2020.09.05 |
| 암호 매니저 'LastPass'에 마지막으로 사용한 비밀번호가 누출되는 버그가 존재 (0) | 2020.09.04 |
| 파일을 사용하지 않는 새로운 공격 '파일레스 악성코드' (0) | 2020.09.04 |
| 간단 · 안심 · 안전한 신용카드 결제를 실현하는 3D세큐어란? (0) | 2020.09.03 |
| "웹브라우저의 열람 이력으로 사용자를 식별 가능하다"고 Mozilla 연구원이 발표 (0) | 2020.09.03 |
| Microsoft가 딥페이크 대책 툴 'Video Authenticator'을 발표 (0) | 2020.09.02 |
| PC 해킹은 악성코드뿐만 아니라 '하드웨어'를 통해서도 이루어진다. 그 수법이란? (0) | 2020.09.02 |
