증거 수집

출처 : http://forensic-proof.com/  (김진국강사님의 디지털포렌식 강의을 듣고 정리한 내용입니다.)

1      온라인 수집

1.1       라이브데이터

순위	구분	수집항목
1	비활성	프리패치, 최근 캐시 파일
2	활성	네트워크 정보
3	활성	물리메모리
4	활성	프로세스 정보
5	활성	사용자 로그온 정보
6	활성	시스템 정보
7	활성	네트워크 인터페이스 정보
8	활성	작업 스케줄러, 클립보드, 자동실행정보
9	비활성	MBR, VBR, 파일시스템 메타데이터, 파일시스템 로그
10	비활성	레지스트리, 이벤트 로그
11	비활성	바로가기, 점프목록
12	비활성	%SystemRoot% 하위 중요 파일
13	비활성	웹 브라우저 아티팩트
14	활성	네트워크 패킷

시스템 전원이 켜져 있는 상태에서 수집할 수 있는데이터를 말한다. 활성 데이터, 메모리 덤프, 비활성 주요 데이터를 포함한다. 이벤트의 원인을 가장 잘 알려줄 수 있는 데이터이다.

ž   활성데이터

ž   네트워크 정보, 프로세스 정보, 사용자 로그온 정보, 시스템 정보, 네트워크 인터페이스 정보, 작업스케줄러 정보, 클립보드 정보, 자동실행 정보

ž   물리메모리

ž   활성데이터에서 네트워크 정보 다음으로 수집해야한다.

ž   비활성주요데이터

ž   파일시스템 메타데이터파일시스템, 이벤트로그

ž   레지스트리, 프리패치

ž   바로가기, 점프 목록

ž   웹브라우저 흔적

ž   %SystemRoot@system32\drivers\etc

ž   %SystemRoot@system32\config\systemprofile

ž   네트워크 패킷

1.2       저장장치 복사

ž   이미징 불가능 or 빠른 분석이 필요

ž   라이브 상태에서 주요 분석 데이터 수집

 - 리눅스 시스템의 경우, “/var/log” 폴더

 - 윈도우 시스템의 경우

ž   ▶ 웹 브라우저 데이터 수집

ž   ▶ 이메일 스토리지 파일 수집

ž   ▶ 볼륨 섀도 복사본 수집

ž   ▶ 대용량 로그(웹 로그, 애플리케이션 로그 등) 수집

ž   ▶ 데이터 베이스 파일 수집

ž   ▶ 특정 시간을 기준으로 생성/수정/접근된 파일 수집

ž   특정 폴더나 파일로 제한

ž   ▶ 라이브 환경에서 특정 시간 대역이나 사용자 행위를 중심으로 파일 검색 후 추출

ž   ▶ 라이브 환경에서 특정 키워드를 중심으로 검색 후 추출

1.3       저장장치 이미징

ž   컴퓨터 전원을 끌 수 없는 경우 라이브 상태에서 저장장치 이미징

ž   논리적인 구성(RAID, LVM 등)의 경우에도 라이브 저장장치 이미징 수행!!

ž   주로 소프트웨어를 사용해 이미징

ž   로컬 이미징

ž   ▶ 로컬에 직접 연결하여 이미징 수행

ž   ▶ 여분의 저장장치 슬롯을 이용

ž   ▶ 외부 인터페이스(USB/IEEE 1394/eSATA 등) 이용

ž   원격이미징

ž   ▶ 네트워크 케이블을 이용해 이미징 수행

ž  ▶ 여분의 네트워크 포트를 이용하거나 서비스 포트를 사용

ž   ▶ 서비스 가용성을 고려하여 여유 시간대나 트래픽을 제한하여 이미징

2      오프라인수집

2.1       저장장치 복사

ž   원본읽기 -> 사본쓰기

ž   장점

 - 필요한 데이터만 비교적 손쉽게 수집 가능 , 신속한 분석

ž   단점

 - 파일과 디렉터리 단위의 정보만 획득하는 일반적인 복사

 - 원본의 메타 정보를 별도로 관리해야 함

 - 삭제된 파일이나 슬랙에 은닉된 데이터는 확인할 수 없음

ž   압수수색 대상이 특정 폴더나 파일로 제한될 경우

ž   ▶  라이브 상태에서 특정 시간 대역이나 사용자 행위를 중심으로 파일 검색 후 추출

ž   ▶ 라이브 상태에서 특정 키워드를 기준으로 검색 후 추출

ž   저장장치 복제/이미징 작업 동안 사전 분석을 위한 데이터

ž   ▶ 쓰기방지장치를 장착한 상태에서 사전 분석 데이터 추출

ž   ▶ 비활성 데이터 수집 시간 VS. 사전 분석 효율

ž   ▶ 파일시스템 메타데이터, 레지스트리, 프리패치, 바로가기 파일, 이벤트 로그 등

2.2       저장장치 복제

ž   원본 모든 섹터 -> 사본 저장장치

ž   비트스트림 복제

ž   장점

 - 원본과 동일하기 때문에 삭제된 파일 복구 가능

 - 일반적으로 이미징보다 속도가 빠름

 - 현장 대응 방식으로 주로 사용

ž   단점

 - 매 복제마다 원본보다 크거나 동일한 사본 저장장치 필요 , 사본 저장장치의 부담

 - 사본 저장장치 특성에 의존 (저장장치 오류 및 배드섹터)

 - 복제 전 사본 저장장치의 완전삭제 필요

2.3       저장장치 이미징

ž   원본 모든 섹터 -> 이미지 파일

ž   비트스트림 이미징

ž   장점

 - 원본과 동일하기 때문에 삭제된 파일 복구 가능

 - 사본 저장장치의 완전삭제가 필요 없음

 - 여러 명이 분석할 경우 증거를 쉽게 분배/공유 가능

 - 압축 기능을 이용해 분배 및 저장 효율 증대

 - 암호화 기능을 이용해 안전성 강화

ž   단점

 - 압축을 하지 않을 경우, 원본 저장장치보다 더 큰 저장장치 필요

ž   포렌식 이미지 형식

ž  ▶ RAW(dd)

     - 원본 저장장치의 순수 비트스트림 이미지

 - 별도의 이미지 파일 처리/보호 매커니즘 X

ž  ▶ Expert Witness E01(Ex01)

     - 엔케이스(EnCase)에서 지원하는 이미지 형식

 - CRC, MD5를 이용하여 이미지 파일의 무결성 확인 가능

 - 압축, 암호화 지원

ž   ▶ 기타 이미지 형식

 - AFF, SMART, IDIF, IRBF, IEIF, ProDiscover IF, SDi32’s Format

구분	E01	Ex01
압축방식	DEFLATE	BZIP2
해쉬알고리즘	MD5,SHA1	MD5,SHA1
보안기능	Password	AES256

2.4       오프라인 수집 도구

ž   무결성 유지가 필요없다면

 - 쓰기방지장치 없이 이미징 소프트웨어를 이용해 이미징

 - 저렴한 저장장치 하드웨어 복제 도구를 이용해 복제

ž   무결성 유지가 필요하다면

 - 쓰기방지장치 하에서 이미징 소프트웨어를 이용해 이미징

 - 쓰기방지기능이 내장된 포렌식 하드웨어를 이용해 이미징

ž   전문 장비 사용의 이점

 - 법적 소송을 대비해 저장물을 관리할 경우

 - 복제 및 이미징 과정에서 대상 장치의 오류나 손상 가능성 최소화

 - 압축, 암호화 기능을 통해 보관의 효율성과 기밀성을 높일 수 있음

정리된 문서 : 

디지털포렌식_증거 수집_americanoJH.pdf