일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | |||||
3 | 4 | 5 | 6 | 7 | 8 | 9 |
10 | 11 | 12 | 13 | 14 | 15 | 16 |
17 | 18 | 19 | 20 | 21 | 22 | 23 |
24 | 25 | 26 | 27 | 28 | 29 | 30 |
- 리버싱
- leetcode
- #크랙미 9번
- #abex크랙미4번
- java8
- springframework
- #abex
- #크랙미
- #크랙미2번
- Spring
- #abex크랙미
- #심플즈 크랙미
- #보안뉴스
- java
- GraphQL
- #크랙미4번
- #크랙미 5번
- #리버싱
- #크랙미3번
- Easy
- #보안이슈
- #심플즈
- #고클린
- #크랙미 10번
- #파밍
- Today
- Total
Halo World
디지털 포렌식 수행 절차 본문
| 1. 수사 준비(Preparation)
- 장비와 확보 및 포렌식 툴 테스트
- 협조체계 확립
| 2. 증거물 획득(Acquisition)
- 현장 분석
- Snap shot
- Disk Imaging
- 증거물 인증
: 증거물을 획득할 때는 증거를 획득한 사람과 이를 감독한 사람, 그리고 이를 인증해 주는 사람이 있어야 한다. 그리고 세 사람의 참관하에 다음과 같은 절차를 수행
1) 컴퓨터의 일반적인 하드디스크를 검사할 때에는 컴퓨터 시스템에 관한 정보를 기록
2) 복제 작업을 한 원본 매체나 시스템의 사진을 찍음
3) 모든 매체에 적절한 증거 라벨을 붙인다. 증거 라벨에는 증거 획득 일시, 피의자 동의 여부, 사건 번호, 라벨 번호가 포함된다.
| 3. 보관 및 이송(Preservation)
- Image 복사
- 증거물 포장 및 운반
: 획득된 증거는 앞서 언급한 연계 보관성을 만족하게 하며 보관 및 이송되어야 함
이송되거나 담당자/책임자가 바뀔 때는 증거를 획득한 사람 및 감독한 사람, 검토자의 이름, 서명, 날짜, 시각, 연락처를 기재
* Evidence safe : 연계보관성을 만족시키는 안전한 장소
| 4. 분석 및 조사(Eaxm & Analysis)
- 자료복구/검색
- TimeLine 분석
- Signature 분석
- 은닉자료 검색
- Hash/log 분석
: 포렌식과 관련해서 증거를 관리할 때는 '최량 증거 원칙(The Best Evidence Rule)'을 따른다. 원본이 존재하지 않으면 가장 유사하게 복사한 최초 복제물이라도 증거로 제출해야한다.
> 법원에 제출하는 원본 또는 최소 복제물은 기본적으로 보관 후, 이를 다시 복사한 문서로 분석 및 조사해야 함
> 무결성을 확보할 수 있는 정보가 계속 기록되어야 하며, 분석을 위해 사용하는 프로그램은 공증을 받은 프로그램에 한함
> 프로그램 내에서 사용되는 스크립트는 그 내용과 실행 단계별 결과가 문서화 되어야 함
* 최량 증거 원칙
: 복사본 등의 2차적인 증거가 아닌 원본을 제출하도록 요구하는 영미 증거법상의 원칙
| 5. 보고서 작성(Reporting)
- 증거분석 결과
- 증거 담당자 목록
- 전문가 소견
: 분석을 마친 뒤에는 분석에 사용한 증거 데이터, 분석 및 조사 과정에서 증거 수집을 위해 문서로 만들며 무결성과 관련 정보, 스크립트 수행 결과를 보고서로 작성해 증거와 함께 제출한다.
[참고]
http://dyaniworld.tistory.com/16
'보안 > DIGITAL FORENSIC' 카테고리의 다른 글
저장매체(2) (0) | 2017.06.30 |
---|---|
저장매체(1) (0) | 2017.06.29 |
데이터의 물리적 단위와 논리적 단위 (0) | 2017.06.28 |
디지털 증거의 특징 (0) | 2017.06.28 |
디지털 포렌식의 정의와 일반 원칙 (0) | 2017.06.28 |