Chapter 1
-컴퓨터 포렌직은 사이버 범죄 혹은 IT와 관련된 증거물 획득을 위해 IT기술을 총동원하여 과학적인 조사를 통해 범죄자를 밝혀내는 것이라 할 수 있다.
-컴퓨터 하드 디스크는 다양한 크기와 다양한 용량이 사요되고 있으며, 컴퓨터와 연결을 위한 인터페이스도 E-IDE, S-ATA, SSD, USB등으로 다양하다.
-컴퓨터 포렌직의 절차는 ‘대상물 수집 > 조사를 위해 복사본 생성 및 엔케이스 프로그램에 연결 > 이미징 작업 > 분석 및 증거 찾기 > 보고서 작성’의 순으로 진행한다.
Chapter 2
-엔케이스는 1997년 미국에서 설립된 가이던스 소프트웨어사에서 개발한 컴퓨터 포렌직 프로그램이다. 전 서계 1만4,000여 명의 조사원 및 수사관이 사용하고 있다.
-엔케이스의 주 화면은 네 가지로 구성되어 있으며, 구성 요소는 트리, 테이블, 뷰, 필터창이다.
-엔케이스 소프트웨어는 최소 설치 사양을 만족하는 컴퓨터에 설치할 수 있지만, 동글이라는 USB형태의 키가 없으면 엔케이스 획득 모드로만 작동한다.
-엔케이스는 IT환경에서 사용하고 있는 대부분의 파일 시스템을 읽어들일 수 있다.
-엔케이스 프로페셔널 수트(Professional Suite)라는 별매 프로그램을 구매하면 VFS, PDE, EDS의 모듈을 사용할 수 있으며, 이를 통해 기능을 확장할 수 있다.
Chapter 3
-FAT와 NTFS 파일 시스템은 마이크로소프트에서 개발한 파일 시스템이며, 리눅스/유닉스/매킨토시 등은 해당 운영 체제에 맞는 별도의 파일 시스템이 있다.
-플로피 디스크나 하드 디스크에 정보를 기록하기 위해서는 디스크 위에 논리적인 구조를 생성한 다음 실제 정보가 기록될 수 있는데. 트랙, 섹터 그리고 클러스터라는 개념으로 구분 할 수 있다.
-컴퓨터는 하드 디스크를 대상으로 읽고 쓰기를 512바이트 단위 즉 1섹터 단위로 작업할 뿐이다. 하지만 운영 체제는 디스크를 효율적으로 사용하기 위해서 1섹터보다 큰 단위인 클러스터라는 단위로 파일을 읽고 쓴다.
-파일 슬랙 공간(File Slack Area) : 실제 파일 내용의 마지막 바이트부터 해당 파일의 마지막 클러스트 바이트까지의 빈 하드 디스크 공간을 의미한다.
-FAT32는 기본적으로 디록토리 목록, 파일 할당 테이블 그리고 데이터 할당 공간으로 구분 할 수 있다.
-디렉토리 목록은 32바이트 단위로 정보가 기록되며, 파일 혹은 디렉토리 이름, 파일크기(바이트단위), 시작 클러스터 번호, 생성된 시간, 마지막으로 접근한 날짜, 마지막으로 저장된 시간 등이 저장된다. 엔케이스의 북마크 기능을 이용하면, 이 32바이트 단위의 정보를 해석해서 표시해준다.
-Intel x86 CPU 계열 시스템에서는 숫자를 하드 디스크에 저장시 역으로 저장하는 리틀엔디안 방식으로 사용한다.
-NTFS에서는 디렉토리 목록의 역할을 담당하는 $MFT와 FAT의 역할을 담당하는 $Bitmap으로 구분할 수 있다. 또한 FAT32는 디렉토리 목록이 32바이트인 반면, NTFS는 $MTF 파일 내부가 1024바이트로 구성되어 있어 파일 및 폴더에 대한 보다 많은 메타 정보를 저장할 수 있다.
-하드 디스크에 운영 체제를 설치하기 전에 사용할 수 있는 상태로 만드는 작업 중 가장 먼저 해야 할 것이 파티션 생성이다.
-MBR(Master Boot Record)은 총 512바이트의 크기이며, 부팅이 가능한 파티션을 찾아 이를 메모리로 읽어들이는 역할을 한다. MBR 그리고 VBR과 같은 부트 레코드는 마지막 2바이트가 0x55AA라는 시그너처가 기록되어 있다.
Chapter 4
-획득에서 가장 조심해야 할 것은 원본 하드 디스크의 내용 중 단 하나의 비트라ㅗ 변경되거나 읽혀서는 안 된다는 점이다. 또한 절대로 원본 하드 디스크로 부팅되어서도 안된다. 이렇게 되면 이는 증거로서 의미가 사라질 수도 있으므로 조심해야 한다. 엔케이스를 이용해서 획득할 때, 패스트블록(FastBloc)과 같은 쓰기 방지 장치를 이용해서 이러한 문제를 미연에 방지한다.
-획득의 마지막 단계인 해시 값 확인은 매우 중요한 부분이다. 해시는 원본과 사본의 내용이 동일하다면 해시 값은 동일하다는 원리를 이용한 것이다. 즉 원본과 사본이 동일하다는 것을 입증한다.
-만약 증거 대상물의 컴퓨터에서 하드 디스크를 분리할 수 없는 상태이거나 혹은 서버 장비와 같이 FAID로 구성되어 있을 경우에는 리엔이라는 CD를 이용해서 이미징을 할 수 있다.
Chapter 5
-파일의 삭제는 파일 이름의 첫 글자만 특수문자로 대체(FAT32)하거나 삭제했다는 표시를 기록(NTFS)하기 때문에 기본적으로 삭제된 파일의 내용은 그대로 유지된다.
-FAT에 비해 NTFS의 파일 복구율이 훨씬 뛰어나다.
-VBR의 위치를 찾아내어 이를 복구하면 파티션은 다시 살아날 수 있다.
-파티션 복구를 위해 해당 VBR 섹터로 직접 찾아서 복구할 수도 있지만. 엔케이스에서 제공하는 강력한 기능인 엔스크립트를 사용해서 삭제된 파티션 정보를 자동으로 찾아주는 방법도 있다.
Chapter 6
-마이크로소프트의 경우 운영 체제가 파일을 관리할 때 파일 고유의 종류를 나타내는 시그너처와는 상관 없이 확장자를 보고 이와 연결된 응용프로그램을 실행한다.
-프로그램의 종류에 따라 별도의 표식을 파일 내부터 심어두는데 이를 시그너처(Signature) 혹은 헤더(Header)라고 한다.
-엔케이스는 시그너처를 진단한 후 !Bad Signature, *[Alias], Match, Unknown의 네 가지 형태로 결과를 표시한다.
Chapter7
-인터넷 서핑을 한 사람이 거쳐 간 인터넷의 많은 정보는 자신도 모르는 사이에 컴퓨터에 저장되어 있다.
-자신이 방문했던 인터넷 사이트의 기록인 히스토리 파일은 ‘index.dat'라는 이름의 파일로 저장되어 있다.
-쿠키란 인터넷 브라우저를 이용해서 특정 사이트를 방문할 때 서버와 클라이언트 간의 톷신에 자주 사용하는 문자 값 등을 인터넷 브라우저 쿠키라는 형태로 보관에서 차후에 다시 접속할 때 참조하는 것을 의미한다.
Chapter 8
-엔케이스 프로페셔널 수트를 구매하면 EDS, VFS, 그리고 PDE모듈을 사용할 수 있다.
-EDS는 마이크로소프트 운영 체제에서 제공하는 EFS(Encrypting File System) 암호 방식으로 저장된 파일이나 폴더를 해독하는 기능을 제공한다.
-VFS는 하드 디스크의 내용에 실제로 접근해서 다양한 조사를 할 수 있도록 해 준다.
-PDE는 엔케이스 이미지의 볼륨을 VMware라는 가상화 프로그램을 통해서 실제로 부팅해 필요한 조사를 할 수 있도록 지원하는 모듈이다.
Chapter 9
-필터, 컨디션, 쿼리 메뉴는 조사에 필요한 부분만 걸러내서 화면에 표시하거나 조사자의 요청에 의해서 원하는 정보만 뽑아낼 때 많이 사용한다.
-특히 쿼리는 필터와 컨디션의 기능을 모두 포함하고, 적용하고자 하는 필터가 여러 개인 새로운 필터를 생성할 수 있는 기능을 제공한다.
Chapter 10
-검색 전에 선행되어야 할 일은 어떠한 검색어를 이용해서 조사할 것인지를 결정하는 작업이다. 검색은 시간이 굉장히 많이 걸리는 일이므로 처음에 검색어를 잘 만들어 등록해야 시간낭비를 줄일 수 있다.
-엔케이스는 한글과 유니코드를 지원한다. 따라서 한글 키워드를 만들 때에는 한글 코드 페이지로 맞추는 것이 중요하다.
-엔케이스는 멀티 태스킹이 지원되므로 여러 개의 작업이 동시에 진행될 수 있으며, 작업이 진행되는 동안에도 다른 조사를 계속할 수 있다.
-북마크는 조사를 위해 검색했던 자료가 많을 경우 어디서 찾았는지 나중에 다시 확인할 때, 16진수의 값을 해석할 때, 보고서를 제출할 때 등 많은 곳에서 사용된다.
Chapter 11
-엔케이스는 삭제된 메일도 화면에 표시해 줄 수 있으며, 복구도 가능하다.
-북마크로 편집한 보고서는 RTF 문서나 웹(HTML)형식으로 내보내기를 할 수 있으며, MS워드 등의 편집 프로그램을 사용해 보고서를 수정할 수 있다.
<포렌직 업무의 이해(Introduction to Forensic Services)>-딜로이트 안진회계법인 지음
'보안' 카테고리의 다른 글
ebp와 esp 레지스터 (2) | 2013.08.28 |
---|---|
EnCase 에 대해서 - 주식회사 제트코 펌 (0) | 2013.08.28 |
해커스쿨 트레이닝 6~10 (0) | 2013.08.28 |
해커스쿨 트레이닝 1~5 (0) | 2013.08.28 |
올리디버거 64비트 버전 (0) | 2013.08.14 |