Halo World

| 자유심증 주의 : 증거의 증명력을 판단할 때 아무런 제한이나 구속력을 두지 않고 오로지 법관의 자유로운 판단에 맡기는 주의 | 위법수집증거배제의 원칙 - 위법한 절차에 의해 수집된 위법 수집 증거는 증거능력을 부정하는 원칙 - 미국 헌법에서 보장하고 있는 절차를 보장하고 인권을 보호하기 위한 목적 > 국내법에서 위법수집증거능력배제원칙 "적법한 절차에 따르지 아니하고 수집된 증거는 증거로 할 수 없다" - 형사소송법 내 308의2조 | 전문 법칙 > 전문 : 사실의 진위여부를 알지 못한 상태에서 전해들은 말. 진실을 입증하기 위해 법정 밖에서 진술된 것 > 전문 법칙 (전문증거배제법칙) - 전문증거의 증거능력을 배제하는 증거법 상의 원칙 - 원진술자가 말한 진술상의 취약점을 파악할 방법이 없음 > 전문..

| 디지털 증거 : 컴퓨터 또는 기타 디지털 저장 매체에 저장되거나 네트워크를 통해 전송 중인 자료로서 법정에서 신뢰할 수 있으며 증거 가치가 있는 정보 - IOCE 정의 : 이진수 형태로 저장 혹은 전송되는 것으로 법정에서 신뢰할 수 있는 정보 - 미국 SWGDE 정의 : 디지털 형태로 저장되거나 전송되는 증거가치가 있는 정보 * 관련 용어 > 전자 증거 (Electronic Evidence) : 전자기기에 저장되어 있거나 전자기기에 의해 전송되며, 증거로써 가치가 있는 정보와 데이터 > 전자 정보 (ESI : Electronically Stored Information) : 미국에서는 전자정보 혹은 전자적으로 저장된 정보라는 의미라는 ESI라는 용어 주요 사용 | 디지털 증거의 종류 : 저장 매체의 ..

| 플래시 메모리 - 전기적으로 데이터를 지우고 재기록이 가능 - 비휘발성 기억 장치 - 수정이 가능하다는 점에서 ROM과 다음 - 데이터를 고쳐 쓰기 전에 소거 동작이 필요하고, 데이터가 지워지지 않는다는 점에서 ROM과 RAM의 중간 성격을 띔 - 충격에 강하고 저전력으로 동작이 가능 - 녹음기, MP3, 디지털 카메라, 휴대폰, 스캐너 USB 플래시 메모리 등에 널리 사용 - 플래시 메모리의 종류 1) NOR 플래시 > 속도는 빠르지만 대용량으로 구성하기에는 부적합 > 휴대폰이라 셋탑박스 등에 주로 쓰임 2) NAND 플래시 > NOR 보다는 느리지만 대용량으로 구성하기에 적합 > SD 카드나 메모리 스틱, SSD, 디지털 카메라, MP3 등에 주로 사용 3) 플래시 메모리의 저장방식 > SLC 방..

| ROM (Read-Only Memory) - 읽기만 가능한 기억장치 - 비휘발성 메모리 (전원이 공급되지 않아도 내용이 사라지지 않음) - 초기 ROM은 제조 회사에서 미리 데이터를 기록하면 읽기만 가능했지만 (Mask ROM), 현재는 사용자가 직접 데이터를 기록하는 PROM, 여러 번 데이터를 재 기록할 수 있는 EPROM, EEPROM 등이 사용되고 있음 | BIOS (Basic Input Output System) - 운영체제와 하드웨어의 입출력을 담당하는 저수준의 소프트웨어와 드라이버로 구성된 펌웨어 > 운영체제는 하드웨어와 통신하기 위해 중간매개체를 사용하게 되며, 이같은 역할을 하는 것이 BIOS > 전원이 공급되지 않아도 유지되어야 하는 정보이기 때문에 ROM으로 제장되어 하드웨어가 제..

| 물리적 단위 - 실제 물리적 장치에서 사용되는 단위로 비트(bit)가 최소 단위 - 모든 물리적 단위는 비트로 표현하지만 최근에는 저장 장치의 용량이 증가하면서 바이트(byte) 단위를 주로 이용 비트(bit) binary digit의 약자. 데이터 구성의 최소 단위. 0과 1로 이루어짐 쿼터(quarter) 1/4 바이트 (2 비트) 니블(nibble) 1/2 바이트 (4 비트) 바이트(byte) 1 바이트 (8 비트) 워드(word) 2 바이트 (16 비트) 더블 워드(double word) 4 바이트 (32 비트) 쿼드 워드(quad word) 8 바이트 (64 비트) Kilobyte (KB) Megabyte (MB) Gigabyte (GB) Terabyte (TB) Petabyte (PB) E..

| 디지털 증거의 특징 1) 매체 독립성 - 디지털 증거는 유체물이 아닌 각종 디지털 저장매체에 저장되어 있거나 네트워크를 통하여 전송 중인 정보 그 자체 - 정보는 값이 같다면 어느 매체에 저장되어 있뜬지 동일한 가치 - 따라서 디지털 증거는 사본과 원본의 구별이 불가능함 2) 비가시성, 비가독성 - 디지털 증거 그 자체는 사람의 지각으로 바로 인식이 불가능 - 일정한 변환절차를 거쳐 모니터 화면으로 출력되거나 프린터를 통하여 인쇄된 형태로 출력되었을 때 가시성과 가독성을 가짐 - 따라서, 디지털 증거와 출력된 자료와의 동일성 여부가 중요 3) 취약성 - 삭제, 변경 등이 용이 - 하나의 명령으로 하드디스크 전체를 포맥하거나 파일 삭제가 가능 - 파일을 열어보는 것만으로 파일 속성이 변경됨 - 수사기관..

| 1. 수사 준비(Preparation) - 장비와 확보 및 포렌식 툴 테스트 - 협조체계 확립 | 2. 증거물 획득(Acquisition) - 현장 분석 - Snap shot - Disk Imaging - 증거물 인증 : 증거물을 획득할 때는 증거를 획득한 사람과 이를 감독한 사람, 그리고 이를 인증해 주는 사람이 있어야 한다. 그리고 세 사람의 참관하에 다음과 같은 절차를 수행 1) 컴퓨터의 일반적인 하드디스크를 검사할 때에는 컴퓨터 시스템에 관한 정보를 기록 2) 복제 작업을 한 원본 매체나 시스템의 사진을 찍음 3) 모든 매체에 적절한 증거 라벨을 붙인다. 증거 라벨에는 증거 획득 일시, 피의자 동의 여부, 사건 번호, 라벨 번호가 포함된다. | 3. 보관 및 이송(Preservation) - ..

| 디지털 포렌식이란? - 범죄 현장에서 확보안 개인 컴퓨터, 서버 등의 시스템이나 전자 장비에서 수집할 수 있는 디지털 증거물에 대해 보존, 수집, 확인, 식별, 분석, 기록, 재현, 현출 등을 과학적으로 도출되고 증명 가능한 방법으로 수행하는 것 - PC나 노트북, 휴대폰 등 각종 저장매체 또는 인터넷 상에 남아있는 각종 디지털 정보를 분석해 범죄 단서를 찾는 수사기법 [특징] - 전자적 자료 : 컴퓨터에만 국한되지 않음 - 법적 효력 : 법규범에 합치되는 논리성을 가져야 함 - 과학적/논리적 : 보편성과 객관성이 필요한 지식 체계 - 절차와 방법 : 목표 달성을 위한 과정이 결과만큼 중요 | 디지털 포렌식 조사의 일반 원칙 1) 정당성의 원칙 : 입수 증거가 적법 절차를 거쳐 얻어져야 함 - 위법수..

PROB 36번은 포렌식 관련 문제입니다. 다운 받은 폴더를 FTK를 사용하여 열어보았습니다.그냥 바탕화면에서 열었을 때와는 달리 많은 폴더들이 보입니다.그중 Recent 폴더에 아청법 위반 파일의 링크로 추정되는 것이 있었습니다. FTK에서 이를 추출한 뒤, 파일 분석 도구인 010 Editor로 열었습니다. 파일이 LNK파일인데 이는 010 Editor의 기본 템플릿에 존재하지 않으므로 LNK파일을 위한 템플릿을 추가해주었습니다.https://m.blog.naver.com/PostView.nhn?blogId=koromoon&logNo=220582469720&proxyReferer=https%3A%2F%2Fwww.google.co.kr%2F 위의 링크를 참조하여 추가하였습니다. 템플릿을 추가해주면 다음..

2번 문제는 모스부호 음성 파일이 있고, "Listen Carefully"라고 되어있습니다. 힌트는 '인증키=대문자' 라는 것이네요 모스부호를 추출해야하기 때문에 골드웨이브라는 음악파일 편집기를 이용하였습니다. 골드웨이브로 열어보니 소리의 길이가 나타나네요. 이를 통해 모스부호를 추출할 수 있습니다. .- ..- - .... -.- . -.-- .. ... -- --- .-. ... . -.-. ----- -.. . 이렇게 나타나는 군요. 이를 모스부호표를 보고 해석하니 답을 얻을 수 있었습니다.