디지털 포렌식은 어떤 작업일까? 기술 내용을 알기 쉽게 설명

1. 증거 보전을 위해 우선 복제 작업 (이미지 작업)

증거 보전을 수행하기 위해 가장 먼저 하는 작업은 복제 작업 또는 이미지 작업을 합니다.
복제 작업 및 이미지 작업의 내용은 동일하지만 차이점을 꼽는다면, 복제 작업의 경우 다른 HDD에 복제를 하고 이미지 작업의 경우에는 .Raw(dd) 및 .AFF 등의 이미지 파일의 데이터로 저장합니다.
이 두 작업의 강점은 HDD의 Slack space와 미사용 영역을 포함한 데이터를 정확하게 얻을 수 있다는 점입니다.

* Slack space : 데이터의 물리적 크기에서 논리적인 크기를 뺀 나머지 공간

* 미사용 영역 : 파일시스템에서 파일에 할당되지 않은 공간

이 두 영역은 과거에 존재한 데이터와 그 흔적이 남아있을 수 있기 때문에 삭제된 파일의 복구 및 조사를 할 때 필수적입니다.

2. 데이터 분석 시작

1) 데이터 복원

포렌식 분석 도구를 사용하여 삭제된 데이터의 복구 및 조사를 실시합니다.
삭제된 데이터를 복구하는 방법은 2가지가 있습니다. 관리 정보를 바탕으로 복구하는 방법과 데이터가 가지는 특징적인 흔적을 파악하고 복구하는 방법이 있습니다.

◆ 관리 정보를 바탕으로 복구하는 방법 :
이것은 스캔이라는 기술입니다. OS가 Windows이면 숨겨진 파일에, 관리 정보가 포함되어 있는 파일시스템이 존재하고 있습니다. 파일시스템의 정보로 데이터 복구가 가능합니다.
그러나 파일시스템 정보 내에서 데이터 내용 부분에 덮어쓰기가 되어있으면 복구할 수 없는 상태입니다.

◆ 특징적인 흔적에서 복구 :
이것은 데이터 조각이라는 기술입니다. 파일시스템의 덮어쓰기가 되어 있어도 사용되지 않는 공간에 데이터 또는 데이터의 일부가 남아있는 경우 등에 이용하여 복원할 수 있는 방법입니다.

2) 데이터 분석

디지털 포렌식 조사의 분석에 주로 이용되는 것이 타임라인 분석 및 문자열 검색입니다.

◆ 타임라인 분석 :
파일시스템 및 로그 파일 등의 타임스탬프 정보를 바탕으로 조사 · 분석하는 방법입니다.

◆ 문자열 검색 :
Word, Excel, PDF, mail 등의 섹터 정보는 특정 문자코드로 이루어져 있습니다. 미사용 영역이나 Slack space를 대상으로 문자코드 검색을 실시하여, 과거에 삭제된 데이터의 흔적이나 데이터 내용을 확인할 수 있을 가능성이 있습니다.

출처 참조 번역
デジタルフォレンジックはどんなことするの？技術内容を伝えます！
http://www.forensic24.com/blog/datarecovery/20191023/1504/

デジタルフォレンジックはどんなことするの？技術内容を伝えます！ – デジタル フォレンジ��