Forensic - 1 디지털 포렌식 기술-1

1. 저장장치

  1.수집

    1. 이미징 : 저장매체의 모든 물리적 증거를 파일형태로 만드는 작업을 의미한다.

                  디지털포렌식분야에서는 원본증거(데이터)가 수집,이동,보관,분석등 일련의 과정을

                  거치면서 변조가 되면 안되기 때문이다.

                  최근에는 획득한 이미지파일의 손상을 보호하기 위해 별도의 포렌식 이미지 포맷을 사용한다고한다.

                  대표적인 포맷으로는 EWF,AFF,E01이 있다. 대부분 이미징 방식을 사용한다.

                  침해사고등의 경우는 용량때문에 압축이 필수적, 이미징기법 사용

                  장점 : 파일로 만들면서 용량이 압축되어 작아진다. 하드 하나만 이미징하면 큰 차이가 없지만

                          실제 침해사고가 났을대 여러 저장매체를 이미징하면 엄청난 장점이 된다. (용량=돈)

 

    2. 복제 : 저장매체를 그대로 복제하는것을 말한다. 복사와는 다르게 복제는 숨겨져 있는 데이터까지 모두

                카피하는것을 의미한다. 또한 복사는 메타데이터의 변조가 일어날수 있어서 복사대신 복제를 사용한다.

                조건 : 복제할 매체의 크기가 원본보다 커야한다.

                초기에는 원본 저장매체와 동일한 사본 저장매체를 사용하는것을 권장했지만, 모델수급등의 문제가 있어서

                최근에는 원본보다 크기가 큰 사본매체면 안정적으로 복제가 가능하다.

                (RPM이나 디스크 버퍼용량은 고려해야함)

                최근들어 복제는 현장에서 빠른 데이터 획득일 필요한경우에만 사용하고 1차획득을 복제로,

                그후 분석의 효율성을 위해서 이미징을 한다고 한다.

                

    3. 쓰기방지 : 획득한 매체내에서 데이터 조작을 막기 위해 쓰기 방지를 설정한다.

                     Encase, FTK Imager등의 툴이 있다.

                     논리적 쓰기방지, 물리적 쓰기방지가 있는데 논리적 쓰기 방지는 디스크편집툴을 이용해

                     조작할수 있다.

 

    4. 논리적 증거획득 : 응용프로그램의 관점에서 보는 파일로써, 물리적 파일로 연결된 채널을 등을 획득,

                               물리적환경과 무관하게 기억장치에 논리적 기록들을 모아두는 모아두는 파일 확보

                               프로그램은 논리적파일을 통해 연산을 수행한다.

  2. 처리

    1. 하드디스크 복구 : "ease 데이터복구 마법사"라는 이름의 툴이 있다.

    2. 메모리장치 복구 : .

    3. 사라진 데이터 복구 : .

    4. 데이터 카빙 :

      1. 연속적 데이터 카빙 : 데이터가 저장매체의 연속된공간에 있을때 사용하는 기법

                                    헤더/푸터 : 파일 고유의 헤더와 푸터 시그니쳐 활용

                                    램 슬랙카빙 : 윈도우 시스템의 램 슬랙이 0x00으로 채워지는 성질 이용

                                    파일크기 : 각 파일의 고유한 해더 구조체 이용

      2. 비연속적 데이터 카빙 : 데이터가 단편화되어 저장매체 여러 부분에 조각나 있을때 사용하는 기법

                                    파일 조각화 비율 : 각 파일의 조각난 수에 따라 단편화된 부분을 복구하는 기법

                                    시그니쳐 기반 기법 : 각 파일의 시그니쳐를 기반으로 단편화된 부분을 복구하는 기법

                                    엔트로피 이용 기법 : 블럭/클러스터의 엔트로피를 계산, 특정파일의 조각을 분류하는 기법

  3. 분석

    1. 메모리 분석 : 프로세스, 네트워크 연결, 윈도우 레지스트리, 패스워드, 캐시, 클립보드, 악성코드파일,

                         하드웨어 설정정보 등을 얻을수 있다.

                         하드디스크와 네트워크 패킷을 사용해 얻을수 있는 증거는 완전재구성을 가능하게 하는 RAM의

                         콘텐츠나 악성코드감염 혹은 침해사고 전후 어떤일들이 발생했는가를 알수 있게 해주는

                         퍼즐의 조각이나, 이 조각들을 바탕으로 인지하지 못했던 증거들을 알수 있다.

                         만약 유출된 데이터가 네트워크를 통해 암호화되어있다면 어떤 정보인지 알수 없으나, 

                         메모리 포렌식은 암호화키와 패스워드, 심지어 암호화 되기전의 텍스트를 복구할수 있어서

                         결론을 도출하고 공격을 파악할수 있게 해준다.

                         단점으로는 휘발성데이터로 전원 차단시 데이터가 사라지며 온전한 데이터를 얻기 힘들다.

    2. 디스크 암호화 분석 : A kernel memory collecting method for efficent disk encryption key search 논문을

                                  참고하여 공부중이다. 최근, 2021년 08월기준으로 딥블루매직이란느 랜섬웨어가 

                                  나타났다.이는 디스크 전체를 암호화 하는 랜섬웨어로 bestcrypt volume encrpytion을 사용

                                  하는 랜섬웨어이다.

    3. 은닉 영역 탐지 : 이동식 저장장치, USB저장장치에 은닉영역(은닉파티션)을 생성하여 악용하는 경우가 있다.

                             이와 관련한 논문으로 "디지털 포렌식 관점에서 이동식 저장매체의 은닉영역 분석 연구"

                             를 참고하여 공부중이다.