디지털 포렌식_01

▼ 아래의 강의를 활용해 학습 및 정리하였습니다. ▼

https://inf.run/zmPL

[지금 무료] 기초부터 따라하는 디지털포렌식 강의 - 인프런

---

 

디스크 이미징

• 디스크를 파일의 형태로 만드는 것
• 디스크 속에 존재하는 것들을 분석하기 위해서는 파일의 형태로 존재해야 함. 

디스크 마운트

• 이미징된 파일을 내 컴퓨터에 등록시키는 것

메모리 덤프

• 이미 컴퓨터 메모리에 존재하는 프로그램들을 그 자체로 덤프하여 하나의 파일로 떼우는 것(?)
• 켜져있는 컴퓨터를 수사할 때, 켜져있는 상태 그대로를 가져와 파일 추출할 때 사용

 

---

디스크 이미징(이미지 덤프) 실습

 

FTK imager 설치

• :C 외의 다른 드라이브 혹은 USB 등이 반드시 필요. 

1. File>Create Disk image>디스크 선택(크기가 작을 수록 속도가 빠름)>이미지타입 선택(보통 Raw 또는 E01 많이 선택하는데, E01이 더 압축된 포맷)

---

기초 도구 설치

1. HXD
   • 파일의 헥스값을 보는 데에 사용.
   • 파일을 구성하는 각각의 바이트를 보기 쉽게 확인 가능 
2. Everything
   • 포렌식 도구는 아니고, 컴퓨터 전체에 대해 인덱스 만들어 주는 도구
   • 빠른 서치가 가능
3. 7-zip ( (반디집으로 대체 가능. 그러나 광고가...))
   • zip 파일의 압축을 풀어줌.
   • 특이한 파일의 압축풀이도 지
4. notepad ++
   • 여러 파일을 한번에 올려두고 볼 수 있음
   • 전체 파일에 대한 검색 지원
5. Sysinternals Suite
   • 도구 모음
   • 자주 쓰는 것
     • strings
     • procexcp
     • procmon
6. FTK-imager
   • 디스크 이미지 관리
   • 이미징
   • 마운트
   • 이미지 덤프
7. Autopsy
   • 디스크 이미지 관리 + 추가적 기능 (강력)

---

디스크 마운트

• 컴퓨터에 있는 드라이브, 이미지 파일을 할 거면 굳이 마운트 할 필요는 없음.
• 마운트 하는 이유: 드라이브 보는 란에 이미지 파일을 함께 보기 위함. 다양한 도구들에서 경로가 잡혀야 뭐든 할 수 있음 (?..)

 

삭제된 파일 복구 실습

• FTK imager 사용
  1. Evidence에 이미지 파일 추가
  2. [root] 들어가면 디스크 이미지 속에 들어있는 파일들을 전부 보여줌
     • 그 중에, 파일 그림에 X표 쳐져있는 것이 삭제된 파일. (삭제되었지만, 원본 그대로 살아있는 걸 확인할 수 있음)
  3. 삭제된 파일 우클릭>Export Files>Export할 파일 선택하면 복구된 것을 확인할 수 있음. 
• Autopsy 사용

디스크 이미지를 넣는 경우에는 정말 많은 데이터 뽑아낼 수 있음. (windows 파일시스템 내부 아키텍트들을 많이 지원해주기 때문..)

1. New case>Case name 정하기>(웬만한 거 다 그냥 건들지 말고 넘기기)
2. FTK보다 더 해 주는 것: 파일 타입에 따라 나열해 줌. 

 

---

 

문제 풀이

 

Q. 디지털 포렌식을 한 문장으로 정의해 보세요
- 디지털 범죄와 관련해서, 디지털 기기에서 발견되는 자료를 복구 및 조사하는 법과학. 

Q. 메모리 덤프는 어떤 상황에 사용하나요?
- 켜져있는 컴퓨터의 현 상황을 그대로 가져와야 할 때

 

Q. 디지털 포렌식의 대상에서 데이터 베이스 포렌식, 암호 포렌식, 회계 포렌식 등등은 특정한 대상과 속성이 있음에도 
기타로 분류하였다. 그 이유는 무엇일까?

- 너무 전문적인 분야이고, 포괄성이 부족한(작은) 분야라서?

- 대상이 될 수 있겠지만, 너무 지역적인 영역이라 따로 분류하진 않는다. 

 

Q. 디스크 이미징이란?

- 디스크를 파일의 형태로 만드는 것

Q. 삭제 파일 복구에서 휴지통의 경로는?

- [root] 

 

Q. 디지털 포렌식을 위해 다운로드 해야 하는 프로그램 중 검색으로 빠르게 파일을 찾을 수 있는 프로그램은 무엇인가?

- Everything