[디지털포렌식전문가 2급_실기] 용어정리1

[디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)]

https://inf.run/SRMh

 

해당 강의를 참조하여 적은 내용입니다. 

데이터 크기의 표현

Bit < Byte(8bit) < Kilobyte(1024) < Megabyte(1024) < Giabyte(1024) < Terabyte(1024) < Patabyte(1024)

 

무결성

• 최초 증거가 저장된 매체에서 법정에 제출되기까지 변경이나 훼손이 없어야 함
• 무결성이 깨지면 증거능력이 없어지므로, 포렌식의 최종 목적을 이루지 못함
• 추가로 다른 증거들의 증거력을 약화시키는 결과가 나올 수도 있음
• Hash 값이 동일 해야함(MD5, SHA1 등)
• 증거의 수집 및 분석, 봉인 이송과정이 적번하게 진행되었는지에 대한 증명

쓰기방지

• 디지털 증거 수집시 조사대상의 원본매체가 훼손되어 무겨렁이 깨지는 일을 막기 위해 다른 기기와 연결된 원본매체가 읽기만 가능하고 쓰기는 불가능하게 만들기 위해서 필수적으로 해야하는 포렌식 준비작업
• 시험 시에도 쓰기 방지를 하고 USB를 해야함

파일 시스템(File System)

• PC에서 파일이나 자료를 쉽게 발견 및 접근할 수 있도록 보관 또는 조작하는 체제를 가리키는 말
• 하드 디스크에 어떻게 기록하고, 읽고, 처리하는지에 대한 체계의 정의
• 윈도우의 파일 시스템(FAT, NTFS, exFAT 등)
  • 기존의 FAT 방식의 파일 시스템이 갖는 한계(파일 하나 및 볼륨의 용량 제한, 보안, 안정성)를 극복하고자 개발된 파일 시스템이 NTFS

레지스트리(Registry)

• MS Window 운영 체제의 설정과 선택 항목을 담고 있는 DataBase
• 사용자의 설정이 변경되면 레지스트리에 반영되어 저장
• 실무에서 레지스트리를 통해 얻을 수 있는 정보
  • 윈도우 설치 정보와 계정 정보
  • 부팅시 자동실행되는 응용프로그램 목록
  • 최근 사용한 파일, 실행 프로그램 등의 사용자 활동 내역
  • 시스템에 사용한 하드웨어 정보(USB등의 연결 흔적 등)
• Windows + R > regedit(registry + edit)

타임라인(Timeline)

• 일자/시간대별로 표현하여 전 후 관계를 쉽게 파악할 수있는 방법

복구 과정

• 파일을 삭제를 하여도 바로 삭제가 된 것이 아니라 컴퓨터에게 “이 방 비어있어~” 라는 느낌
• 새로운 파일이 오면 그 자리에 덮어져 복구가 불가능한 것

와이핑(Wiping) & 디가우징(Degaussing)

와이핑 - 논리적 삭제

• 하드디스크, USB 등의 저장매체를 복구가 불가능하게 완전히 삭제하는 방법
• 일반적인 삭제, 포맷은 복구 가능성이 여전히 남아있음
• 시험에서 증거 USB에 ‘Wipe’, ‘Eraser’등의 단어가 포함된 프로그램 설치파일이나, 설치 흔적이 발견된 경우 증거 인멸 의도나, 실행에 옮겼을 것으로 추정이 가능함

디가우징 - 물리적 삭제

• 자기 저장 매체(HDD, 자기 테이프 등)에 강력한 자기장을 가해 데이터를 영구적으로 지우는 방법

진 수

• 2진수
  • 디지털 데이터를 표현하는 기본 수체계로 0과 1로 구성
• 16진수
  • 디지털 데이터를 표현하면 2진수로 표현이 되지만,
  • 2진수를 4자리씩 묶어 니블(4bit) 단위로 묶어서 표현하는 16진수를 사용함
  • 가독성이 안 좋아 1byte(8bit)를 16진수 두 자리 표현
• 엔디안
  • 데이터를 컴퓨터에 기록하는 방식
  • 일본은 오른쪽에서 왼쪽, 우리나라는 왼쪽에서 오른쪽으로 가는 것 생각하면 됨
    • → 맞나? 나중에 수정하기
  • 빅 엔디안
    • 큰 단위부터 컴퓨터에 기록하는 방식, 사람이 사용하는 방식과 동일 →
  • 리틀 엔디안
    • 작은 단위부터 컴퓨터에 기록하는 방식, 우리가 흔히 사용하는 컴퓨터(인텔, AMD, CPU)에서 주로 사용하는 방식 ←
  • 큰 단위 = 16^n, 16^n-1, 16^n-2
  • 작은 단위 = 16^n , 16^n+1, 16^n+2
• 물리 & 논리(Physical & Logical)
  • 물리
    • 하드웨어
  • 논리
    • 가상의 구분? 정도
    • 파티션(C:, D:)

파일을 볼 때 물리, 논리 용량이 있음

• 크기 = 실제 용량 = 논리(LogicalSize)용량
• 디스크 할당 크기 = 하드디스크에 저장되면서 차지하는 용량 = 물리(Physical)용량
• 실제 데이터 ≠ 할당된 공간

섹터(Sector) - 가장 작은 물리적 단위

섹터

• 저장매체에서 사용하는 최소한의 데이터 저장단위로 일반적으로 섹터 당(512Byte, 변경은 가능)
• 몇 개의 섹터들을 하나의 클러스터 단위로 지정하여 저장함

섹터와 파일의 저장

클러스터(Cluster) - 가장 작은 논리적 단위

클러스터

• 운영체제에서 사용하는 데이터 저장의 최소 단위로 몇 개의 섹터를 하나로 묶은 집합
• 파일의 크기와 클러스트의 크기가 정확하게 같지 않은 이상 버려지는 저장공간이 발생함 = 슬렉
• 윈도우가 이렇게 하기로 했음, 클러스터 단위로 저장을 하기로, 다른 이유 생각하지 않기

클러스트와 파일의 저장

• 섹터: 1MB, 클러스트: 10MB(10개의 Sector)일 때
• 11MB의 음악파일의 실제용량(논리용량)은 11MB
• 디스크에서 차지하고 있는 디스크 할당크기(물리용량)는 20MB

이미징(Imaging)

이미징 ≠ 복사

• 이미징
  • 디지털 증거 분석을 위해 증거의 사본을 파일로 생성하는 것을 의미
• 복사, 복제, 이미징 차이
  • 복사: 원본 매체의 논리적 데이터만을 사복매체에 복사
    • (데이터만 가져오는거라 저장이 어디에 될지 모름)
  • 복제: 원본저장매체의 모든 물리적인 섹터를 그대로 복제(usb → usb)
    • 그대로, 원래 있던 자리에 가져오는 것(이게 원본)
  • 이미징: 원본저장매체의 모든 물리적섹터를 파일형태로 복제 (usb → file)

UTC(Universal Time Coordinated) & 시간차 확인

UTC(Universal Time Coordinated)

• 국제 사회가 사용하는 과학적 시간의 표준으로 대한민국은 UTC+9(한국이 9시간 빠름)

디지털 포렌식에서 시간차 확인이 중요한 이유

• 기기에 따라 설정된 시간대가 다르거나, 같은 시간대(KST=UTC+9)를 사용하더라도 여러 이유로 인해 시간차이가 발생할 수 있음
• 시간차를 확인하지 않으면 수집한 정보의 시간이 KST와 동일하게 생각하고 분석을 하게 되어 수집한 증거를 정확하게 분석하지 못하게되고, 이는 잘못된 분석으로 이어져 증거의 신뢰성이 현저하게 낮아짐은 물론 증거능력을 인정받지 못할 수도 있음