본문 바로가기

forensic/Forensic Science

 (11)
Digital Forensic 법률 관련 Digital Forensic 법률 관련 Writer : Kusti 디지털 증거와 관련된 법률 관련 **위법수집증거 배제원칙** 수집 과정에서 위법행위가 있었다면 해당 증거의 증거력을 배제한다. 형사소송법 308조 2항 적법한 절차에 따르지 아니하고 수집한 증거는 증거로 할 수 없다. 영장에 명시되어있는 범위 외에서의 증거 수집, 불법 프로그램 사용, 강압 **독수독과이론** 위법하게 수집된 증거에 의해 발견/수집한 증거는 증거능력을 부정한다. 영장 범위 외의 장소에서 수집한 컴퓨터에서 발견한 증거를 예로 들 수 있다. **전문법칙** 전문증거의 예 경험자가 본인의 경험사실을 서면에 기재하는 경우 경험사실을 들은 타인이 서면에 기재하는 경우 원진술자가 공판 기일이나 심문 기일에 행한 진술 외의 진술 전문..
Linux MAC time 확인, 접속 정보 확인 Writer : KUSTI 환경 : virtual box, Ubuntu MAC Time 분석 M ) ls -latr --full-time A) ls -laur -full-time C) ls -lacr -full-time 접속된 사용자 정보 (local에서 xshell 접속중) w : 로그인 정보, 작업내용 등등 who : 호스트에 로그인한 사용자 정보
침해 후 조사 Writer : KUSTI 해당 자료는 구글링을 기반으로 만들어 졌습니다. INDEX Data Redundancy Data Backup Analysis Data Redundancy 포렌식을 위해 이미지를 만들 때 사용한다. 서비스를 지속해아 하는 경우, 추후 법적대응을 할 경우, 사고조치를 위해 fragment를 찾으려 할경우, 중대한 손실이 발생되었을 경우 필수적이다. 대응전략 수집단계에서 자료 이중화 여부를 결정한다. 자료이중화는 비트단위로 복사하기 때문에 많은 시간이 걸린다. 실행중인 서버에서 조사가 가능하며 누가 언제 어디서 무엇을 어떻게 침해했는지 증거가되는 파일의 논리적 위치를 알 경우, 해당 파일만 백업한다. 자료 이중화는 다른 단계보다 실수할 확률이 높다. 추후 법적 물증으로 사용하려면 파..
디지털증거 Writer : KUSTI 해당 자료는 구글링을 통해 만들어 졌습니다. 디지털증거 INDEX 디지털증거 전문이란? 전문원칙, 전문증거배제의 원칙 디지털 증거에 대한 법적 해석 증거능력을 보장하기 위한 특성 chain of custody Frye, Daubert 디지털 증거 정의 : 컴퓨터와 같은 정보기기에서 내장된 디지털 자료를 근거삼아 그 장치를 매개체로 발행한 어떤 행위의 사실관계를 규명 및 증명하는 기술 현재는 Network, DB, RAM등 다양한 곳에 증거자료가 있어 전문성이 더욱 심화됨 Disk, System, Network, Mobile, DB, Crypto 수사 흐름 검색대상 최소, White List 응용 RDS 온라인 원격 증가자료 수집, 디지털포렌식은 증거자료가 주목적이기에 무결성이 ..
Forensic - 지금까지 시도해본 steganography 1. copy /b a+b c 명령어 이 명령어는 파일뒤에다가 데이터를 추가하는 명령어이다. 예를들어 a.jpg 뒤에다가 b.png를 넣은 c.jpg파일을 생성한다고 하면 copy /b a.jpg + b.png c.jpg 를 입력하면 c.jpg파일이 생성된다. c.jpg의 EOI다음부분을 보면 jpg파일의 EOI인 FF D9뒤에 PNG파일의 시그니쳐를 볼수 있다. 겉으로 보기에는a.jpg파일밖에 보이지 않아 직접 보지 않는한 더미데이터의 유무를 알수 없다. 하지만 이런방식은 binwalk와 같은툴이나 특정 파일안에 있는 모든 데이터를 긁어오는 작업에서 같이 읽혀 파일이 따로 만들어지기도 한다. 2. lsb steganography least significant bit의 약자인 lsb는 최하위 비트를 변..
Forensic - 1 디지털 포렌식 기술-4 4.네트워크 1. 수집 1. 유선 네트워크 패킷 수집 : 이더넷, 이메일 첨부파일 및 기타 네트워크 트래픽이 암호화되어있지 않을 경우만 재구성할수 있다. ARP테이블에는 해당IP와 MAC주소가 나와있다. 용의자의 다른 호스트와의 연결이 항상 암호화되어 있다는것은 다른 호스트가 용의자의 공범임을 나타낸다. 2. 무선네트워크 패킷수집 : 무선네트워크상의 패킷은 보안이 잘되어있지 않다. 패킷을 공기중에 뿌려 전달하는 방식으로 30분만 배워도 중간에서 패킷을 가로채는게 가능하다. 3. 네트워크 장비 이미징 : (찾아봐도 안나온다.) 네트워크 장비 안에 있는 자료들을 이미징하는것 같다. 4. 네트워크 로그 수집 : 서버 및 네트워크 장비에 관한 사용자 입출력사항, 프로그램사용 내역, 자료 변경내역, 시작,종료시간..
Forensic - 1 디지털 포렌식 기술-3 시작하기에 앞서, 앞에서 다뤘던 내용은 .으로 표기했습니다. 3. 어플리케이션 1. 수집 1. 데이터베이스 수집 : . 2. 어플리케이션 로그 수집 : 행동로그, BIG QUREY 1. 행동로그 설계는 1,2,3단계로 나뉘는데 가상의 백신예약앱을 예로 들어 설명하자면, 1. 백신예약하기 버튼 클릭을 1000번 눌렀다. 2. 백신예약하기 버튼이 1000번 눌렸는데 이중 300개는 화이자고 700개는 모더나이다. 또한 화이자와 모더나의 가격은 ~이고 home화면에 있는 모더나 홍보영역을 통해 모더나 백신을 클릭한수가 더 많다. 3. 백신예약하기 버튼이 1000번 눌렸는데 이중 300개는 화이자고 700개는 모더나이다. 또한 화이자와 모더나의 가격은 ~이고 home화면에 있는 모더나 홍보영역을 통해 모더나 백..
Forensic - 1 디지털 포렌식 기술-2 1. 시스템 1. 수집 1. 라이브데이터 수집 : 현장대응시 시스템이 활성화되어있으면 활성데이터를 수집후 전원을 끄는것이 바람직하다. 실행,연결중인 프로세스, 현재 로그인사용자, 현재 시스템 리소스 상황, 현재전송중 패킷, 클립보드에 저장된 패킷, 기타 등등이 있다. 2. 메모리수집 : 침해사고 대응에 많이 활성화 되어있는 기법이다. 사용자의 행위에 대한 정보를 얻을수 있다. 하드웨어를 이용한 덤프(이 기능을 지원하는 PC에서만 사용하기때문에 최근에는 잘 사용되지 않는다. 소프트웨어를 이용한 덤프(가장 많이 쓰이지만 덤프를 위해 실행한 소프트웨어도 메모리에 저장됨) 크래시 덤프(침해사고 대응에서는 사용하지만 디지털포렌식에서는 활용도가 낮다.) 절전모드 덤프(절전모드시 사용) 가상화 시스템덤프(가상머신으로..

티스토리툴바