디지털포렌식기술 - krnet.or.krc8%ab%b5%b5%bf%f8.pdf ·...
TRANSCRIPT
디지털디지털 포렌식포렌식 기술기술(Digital Forensics Technologies)(Digital Forensics Technologies)
2007. 6. 29.
홍도원([email protected])
한국전자통신연구원
2 KRnet2007
국내외 기술 동향국내외국내외 기술기술 동향동향
디지털 포렌식 개요디지털디지털 포렌식포렌식 개요개요
디지털 포렌식 기술디지털디지털 포렌식포렌식 기술기술
저장 매체 증거 수집 기술저장저장 매체매체 증거증거 수집수집 기술기술
활성 데이터 수집 및 분석 기술활성활성 데이터데이터 수집수집 및및 분석분석 기술기술
목목 차차
디지털 데이터 분석 기술디지털디지털 데이터데이터 분석분석 기술기술
디지털 데이터 검색 기술디지털디지털 데이터데이터 검색검색 기술기술
항 포렌식 대응 기술항항 포렌식포렌식 대응대응 기술기술
결 론결결 론론
3 KRnet2007
디지털디지털 포렌식포렌식 개요개요
디지털 포렌식 기술 정의디지털 포렌식 기술 정의
디지털 포렌식 적용 개념디지털 포렌식 적용 개념
디지털 포렌식 적용 시나리오디지털 포렌식 적용 시나리오
기술의 필요성기술의 필요성
디지털 포렌식 절차디지털 포렌식 절차
4 KRnet2007
디지털디지털 포렌식포렌식 기술기술 정의정의
컴퓨터 포렌식
컴퓨터를 매체로 한 증거 수집 및 분석을 위한 포렌식
컴퓨터 포렌식
컴퓨터를 매체로 한 증거 수집 및 분석을 위한 포렌식
모바일 포렌식
핸드폰, PDA, PMP 등의 이동형 정보기기에 대한 포렌식
컴퓨터와 같은 정보기기 장치에 내장된 디지털자료를 근거로 삼아 그 장치를 매개체로 발생한 어떤 행위의 사실 관계를 규명하고 증명하는 기술
5 KRnet2007
기술의기술의 필요성필요성
컴퓨터컴퓨터 관련관련 범죄범죄 증가증가 및및 증거증거 자료의자료의 디지털화디지털화정보화에 따른 컴퓨터 관련 범죄 뿐만 아니라 일반 범죄에서도 중요 증거 또는단서가 컴퓨터를 포함한 전자매체 내에 보관 되어 있는 경우가 기하 급수적으로증가
디지털 자료는 복사가 쉬울 뿐만 아니라 원본과 복사본의 구분이 어렵고 조작및 생성, 전송, 삭제가 매우 용이함
범죄 관련 증거 자료가 디지털화 되어감에 따라 증거 수집,분석을 위한 전문적인 디지털 포렌식 기술 개발이 시급
[출처: 검찰청 사이버 범죄 수사센터] [출처: 경찰청 사이버센터 대응센터]
컴퓨터, 인터넷 관련 범죄뿐만 아니라모바일 기기 관련 범죄 또한 급속히 증가
20022002 20052005
41,32541,325 88,73188,731
년도년도
발생건수발생건수
2002년 2003년 2004년 2005년
0
20000
40000
60000
80000
6 KRnet2007
디지털디지털 포렌식포렌식 기술의기술의 활용도활용도 증가증가국가기관에서 컴퓨터 범죄 뿐만 아니라 일반 범죄 수사에서의 활용빈도 증가
일반 기업체 및 금융회사 등의 민간 분야에서도 디지털 포렌식 기술의 수요가폭발적으로 증가
보험 사기 및 인터넷 뱅킹 피해보상에 대한 법적 증거 자료 수집 및 관리 활용내부 정보 유출 방지, 회계 감사 등의 내부 보안 강화 및 유지에 활용
e-Discovery 시행으로 민간 포렌식 서비스 수요 확대미국, 2006.12.1 발표, SOX나 HIPPA에 대한 세부 법 조항 시작
민형사 소송에서 디지털 증거 제출 의무화
매출 10억불 이상의 미국 기업들은 연평균 140여건의 소송이 발생
국내 기업의 글로벌화 및 국제화에 따른 디지털 포렌식 분야 기술 개발의 필요
성 증대
국내기업의 글로벌화 및 미국의 법과 제도를 WTO, ISO 등을 통해 국제화하려는 추
세를 감안할 때 포렌식 분야 기술 개발 및 적용은 국내기업의 경영 리스크를 줄이고
경쟁력 향상을 가져옴
기술의기술의 필요성필요성
7 KRnet2007
디지털 포렌식 적용 개념
컴퓨터 과학수사
국가기관
e-Discovery
사법기관
기밀정보유출 탐지
증거 인증
인증기관
법/제도 마련증거 채택
디지털 증거 채택
회계 감사
민간기업
절차 및 기능 인증
포렌식 시스템 검증
검증기관
모바일 범죄 증가
모바일 업체
디지털 포렌식시스템
8 KRnet2007
디지털디지털 포렌식포렌식 적용적용 시나리오시나리오
증거 자료 수집
범죄 현장
증거 분석 및 보고서 작성
Internet
보관 및 이송
원격 증거 자료 수집
On-Line
증거 자료 수집
증거 자료 채택
Digital Forensic
S/W
Forensic Lab
Digital Forensic
S/W
분석보고서 제출
수사관 파견
Off-Line
증거 자료 수집
①
②
③
①
②
③
④
RDS 시스템
Internet
…
9 KRnet2007
디지털디지털 포렌식포렌식 절차절차
수사수사 준비준비 증거물증거물 획득획득 보관보관 및및 이송이송 분석분석 및및 조사조사 보고서보고서 작성작성
포렌식 툴 검증
장비 확보
협조체계 확립
현장 분석
활성데이터 수집
디스크 이미징
증거물 인증
이미지 복사
증거물 포장 및운반
Time Line 분석
Signature 분석
Log 분석
데이터 복구
파일 및 단어 검색
패스워드 및 암호해독
증거 분석 결과
담당자 목록
전문가 소견
10 KRnet2007
디지털디지털 포렌식포렌식 기술기술
국내외 기술 동향국내외 기술 동향
활성 데이터 수집 및 분석 기술활성 데이터 수집 및 분석 기술
디지털 증거 분석 기술디지털 증거 분석 기술
저장매체 증거 수집 기술저장매체 증거 수집 기술
디지털 증거 검색 기술디지털 증거 검색 기술
항포렌식 대응 기술항포렌식 대응 기술
11 KRnet2007
FBI RCFL 및 DoD Cyber Crime Center 운영
모든 범죄에 대해서 포렌식 서비스를 제공하여 FBI 수사 지원
사이버 범죄 연구, 디지털 증거 획득 및 분석, 수사관 교육
디지털 포렌식 전문 분석실 및 증거 인증 기업 운영CFI, Forensic FOCUS, ASCLD 등 디지털 증거 수집, 분석E-TimeStamp, Surety 등 디지털증거 무결성 입증
국외국외 동향동향
12 KRnet2007
NIST NSRL 프로젝트
획득된 증거 조사 분석시 효율적인 파일 검색을
위한 참조 데이터 셋(RDS) 구축
조사, 분석에 소요되는 시간을 단축시키기 위해
검색 범위를 축소해서 조사 우선순위 부여
Hashed Search 기술
컴퓨터 포렌식 및 모바일 포렌식 가이드라인“Guidelines on PDA Forensics",
Special Publication 800-72 “Guide to Integrating Forensic
Techniques into Incident Response", Special Publication 800-86 “Guidelines on Cell Phone Forensics",
Special Publication 800-101
NIST CFTT 프로젝트포렌식 도구 기능 검증을 국가적으로 주도디지털 포렌식 툴의 검증 및 평가 방안을 제시국가 법무연구소와 공동으로 평가 결과 보고서발간, 일반인 열람 가능
국외국외 동향동향
13 KRnet2007
상용 컴퓨터/모바일 포렌식 소프트웨어
Guidance Software사의 EnCase
AccessData사의 ForensicToolkit
Paraben 사의 Device Siezure
Radio Tactics 사의 ForensicSIM Toolkit
FinalData 사의 FinalForensics
모바일 관련 기술 개발 방향
디지털 융,복합 단말기 대상의 포렌식 기술
SourceForge의 BitPIM, TULP2G 프로젝트가 시험 개발용으로 추진
SIM 카드 포렌식과 Main Memory 포렌식 기술 개발
부정탐지 기능을 가진 기업 내부 보안 강화 기술Integral Solution사의 Clementine, Thinking Machine사의 Darwin,SAS의 Enterprise Miner가 기술 선두권에 있음
국내외국내외 기술기술 개발개발 동향동향
14 KRnet2007
저장매체저장매체 증거증거 수집수집
대표적대표적 이미지이미지 작성작성 툴툴
이미지이미지 파일파일 관련관련 이슈이슈
표준화표준화 관련관련
저장매체저장매체 증거증거 수집수집 기술기술
15 KRnet2007
저장매체저장매체 증거증거 수집수집
수사를수사를 위해위해 범죄범죄 용의자의용의자의 저장저장 매체에매체에 대한대한 일종의일종의 복사본을복사본을 작성함작성함
조사과정에서의조사과정에서의 변질을변질을 방지하고방지하고 이를이를 확인할확인할 수수 있는있는 방안방안((무결성무결성))이이 반드반드
시시 제공되어야제공되어야 함함
대표적인대표적인 증거증거 수집수집 방식방식
Disk-to-Disk
- 디스크를 다른 디스크에 그대로 복사하는 방식
- 전용 장비를 사용할 경우, 매우 간단하게 복사가 이루어질 수 있음
- 원본 디스크와 사본 디스크의 사이즈가 다를 경우 각각의 해쉬값이 달라지므로
무결성을 증거하기가 어려움
Disk-to-File
- 디스크에 대한 이미지파일을 작성하는 방식
- 이미징을 지원하는 다양한 상용/공개 프로그램들이 존재함
- 무결성을 쉽게 확인할 수 있으며 하나의 디스크를 멀티 파일로 분할하는
것도 가능함
- 가장 일반적인 방식
16 KRnet2007
대표적대표적 이미지이미지 작성작성 툴툴
EnCaseEnCase
Guidance Software
- http://www.encase.com
- 컴퓨터 포렌식 분야에 있어 De Factor로 간주되고 있는 통합 툴
- 전용의 이미지 파일 포맷을 가지고 있으며 Expert Witness 포맷을 계승하고 있음
- 전체 디스크의 이미지를 여러 개의 파일로 분할 할 수 있으며, 각각의 파일은 복수의블록으로 이루어진다.
Case Info CRC Block = 64 Sectors of Data =32KB
Hash
Case InfoCase Info : the date and time of acquisition + examiner’s name + note on acquisition + an optional password.
CRCCRC : for each block of 64 sectors.
HashHash : MD5 for the entire bit-stream.
Figure 1. EnCase의 이미지 파일 포멧
17 KRnet2007
FTKFTK
Access Data
- http://www.accessdata.com/products/ftp
- 전용의 포맷을 가지지 않으며, EnCase를 포함한 몇 개의 포맷을 지원하고 있음
Advanced Forensic FormatAdvanced Forensic Format
Simpson Garfinkel and Basic Technologies
- http://www.afflib.org
- 전용 포맷을 가지고 있으며, EnCase와 Expert Witness의 파일 포맷도 지원하고 있음
- 공개 S/W
DDDD
Unix/Linux/Window 용 공개 S/W
- 단순한 Raw 이미지 파일을 생성하는 가장 기본적인 툴로 거의 모든 포렌식 S/W에서
이를 지원하고 있음
대표적대표적 이미지이미지 작성작성 툴툴
18 KRnet2007
이미지이미지 파일파일 관련관련 이슈이슈
MetadataMetadata
HDD serial number, 이미징 장소/날짜, 전자서명 or 해쉬값
최근의 상용/공개 이미지 툴들은 기본적으로 Metadata 처리기능을 제공함
Metadata 처리방식
1. 이미지 파일 첨부형
- 이미지 파일내에 Metadata가 첨부되는 형태 (EnCase, AFF)
2. 이미지 파일 분리형
- Metadata를 이미지 파일과 분리하여 관리하는 형태 (AFF)
이슈사항
1. Metadata의 인코딩 방식 : ASCII / UTF 를 모두 지원해야 함
2. Metadata의 확장성 : 사용자가 손쉽게 새로운 Metadata 정보를 정의하여 사용할 수
있도록 확장성을 제공해야 함
19 KRnet2007
이미지이미지 파일파일 이슈이슈
CompressionCompression
최근 컴퓨팅 환경의 발전으로 인해 일반적인 사용자도 대용량의 HDD를 사용함
으로써, 다양한 사건에 대한 이미지 파일들을 관리하기 위해서는 데이터를 압축
하여 저장해야 함
DD를 제외한 대부분의 이미징 툴들이 압축기능을 제공하고 있음
이슈 사항
1. 고속 검색을 지원할 수 있는 압축 알고리즘 사용 : 압축을 풀지 않고도 압축 블록내
의 논리적 파일 구조를 확인할 수 있도록 sgzip(searchable gzip)과 같은 알고리즘을
사용하여야 함
2. 고속 압축 기법 : 압축 전용 H/W 사용을 통한 고속의 데이터 압축을 지원해야 함
20 KRnet2007
이미지이미지 파일파일 이슈이슈
FormatFormat
Raw 파일 포맷의 경우 거의 모든 툴들에서 제공되고 있지만, 태생적으로 빈약
한 기능으로 인해 널리 사용되지 않고 있으며, EnCase의 경우 대부분의 툴들이
지원하고 있지만 해당 업체에서 실제적인 데이터 구조를 공개하지 않고 있음
업체별 파일의 포맷의 차이로 인해 수사기관간의 협조가 요구될 경우, 사용할
수 있는 툴들이 제약되고 있음
이슈
1. 공개적인 표준 정립이 시급
21 KRnet2007
표준화관련표준화관련
Common Digital Evidence Storage Format (CDESF)Common Digital Evidence Storage Format (CDESF)
http://www.dfrws.org/CDESF/index.shtml
컴퓨터 포렌식 커뮤니티에 의해 사용될 수 있는 증거파일의 공개 포맷을 정의하기 위해활동
Survey of Disk Image Storage Formats(v1.0) 발표
- Digital Forensic Research Workshop, 2006년 9월
국내에서는국내에서는 컴퓨터컴퓨터 포렌식포렌식 전반에전반에 대해대해 아직까지아직까지 가시적인가시적인 표준화가표준화가 이루어이루어
지지지지 않고않고 있음있음
최근최근 ETRIETRI를를 중심으로중심으로 디지털디지털 증거증거 수집수집 도구도구 및및 절차에절차에 대한대한 표준화를표준화를 추진추진
하고하고 있음있음
22 KRnet2007
Live Data Live Data 수집수집 및및 분석분석 기술기술 개요개요
Live DataLive Data의의 범위범위
Live Data Live Data 수집수집 툴의툴의 동향동향 및및 방향방향
활성활성 데이터데이터(Live Data) (Live Data) 수집수집 및및 분석분석 기술기술
23 KRnet2007
Live Data Live Data 수집수집 및및 분석분석 기술기술 개요개요
Live DataLive Data란란 무엇인가무엇인가
좁은 의미로는 시스템의 파워를 차단했을 때 사라지는 정보를 의미함
넓은 의미로는 휘발성 데이터와 비 휘발성 데이터로 구분됨
Live Data Live Data 수집의수집의 의미의미
현재까지의 시스템 상태 관찰을 통해 장기적으로 어떤 단서에 주시해 수집된 데
이터를 분석해야 하는지 정보를 제공함
범죄 현장일 경우 현재 운용 중인 시스템의 Live Data 수집을 통해 범행 사실,
범인 등에 대한 중요한 단서를 획득할 수 있음
Live Data Live Data 수집수집 시기시기
현장에 도착한 즉시 시스템을 끄지 않은 상태에서
운용 중인 시스템의 휘발성 정보 및 상태를 수집
24 KRnet2007
Live Data Live Data 수집수집 및및 분석분석 기술기술 개요개요
Live Data Live Data 수집시수집시 고려고려 사항사항
Live Data 수집 및 분석의 목적에 대한 이해와 이에 대한 문서화
시스템 변동의 최소화 및 시스템 변동 시 이에 대한 이해 필요
라이브 시스템 분석은 네트워크 모니터링을 제외하고는 거의 항상 시스템 변동을 발생시킨다. (CPU registers, memory, disk space 등)
검사대상 시스템의 툴을 사용하지 말 것
Live Data Live Data 수집의수집의 일반적인일반적인 방법방법
분석하고자 하는 시스템에서 제공하는 툴 사용
가장 간단하고 이미지나 동영상 등을 포함한 결과물 해석이 쉬우나, 시스템 변경이발생할 수 있고, 사용하는 툴 자체가 변경되었을 수 있으므로 권하지 않음
목표 시스템과 동일한 시스템(동일 OS, 가능한 한 유사한 환경) 구축 후 분석에 필요한 툴을 CD에 저장, 이를 이용하는 방법
원격 시스템에서 네트워크를 통한 분석
Encase Enterprise 등의 일반적인 상용 툴 사용
25 KRnet2007
Live DataLive Data의의 범위범위
휘발성휘발성 정보정보시스템 시간 정보 (System Date, Time)
시스템 시간이 변경되었을 수 있으므로 외부의 시간정보 제공 툴을 이용한 확인 필요
현재 네트워크 연결정보, 열려 있는 TCP나 UDP 포트 및 이를 통해 실행 중인프로그램
Cached NetBIOS 정보
현재 로그온 되어 있는 사용자
인터넷 라우팅 테이블
수행 중인 프로세스 및 서비스, 열려 있거나 작업 중인 파일 리스트
메모리 덤프 : 각 프로세스 별 메모리 또는 전체 시스템 메모리덤프한 메모리 내의 스트링 검색을 이용해 분석
메모리에 포함하고 있는 내용최근에 열어본 파일 및 메모리에 복사된 텍스트 내용
최근 입력된 암호화된 메시지의 텍스트 및 임시 패스워드
채팅 내용
악성 코드의 유무 파악 가능
26 KRnet2007
Live DataLive Data의의 범위범위
비비 휘발성휘발성 정보정보
시스템 설치 환경
파일 시스템 타임 스템프
레지스트리 정보
시스템 이벤트 로그
과거 로그인한 사용자들의 정보
시스템에 등록되어 있는 모든 사용자들의 계정과 권한
27 KRnet2007
Live Data Live Data 수집수집 툴의툴의 동향동향 및및 방향방향
현재까지의현재까지의 동향동향
대부분의 Live Data 수집 툴들은 알려진 툴들을 통합하여 하나의 툴 형태로 제
공하고 있음
Encase Enterprise 버전에서는 감시하고자 하는 시스템에 클라이언트 프로그램
을 설치 후 네트워크를 통해 시스템 상태를 모니터링 할 수 있는 기능을 제공
네트워크 연결 상태, 수행 중인 프로세서, 오픈 된 파일 등
나아가야나아가야 할할 방향방향
정의된 Live Data의 수집, 분석, 리포팅 작업이 가능한 독자적이고 통합된 툴
개발 필요
포렌식 시스템의 일부로 수용 가능
28 KRnet2007
디지털디지털 증거증거 분석분석 기술기술 동향동향
디스크 브라우징
데이터 보기
파일 복구
은닉 데이터 추출
웹 브라우징 히스토리 분석
E-메일 분석
레지스트리 분석
로그 분석
디지털디지털 증거증거 분석분석 기술에기술에 관한관한 향후향후 발전발전 방향방향
디지털디지털 증거증거 분석분석 기술기술
29 KRnet2007
디스크디스크 브라우징브라우징
디스크디스크 브라우징브라우징
획득된 저장 매체 및 디스크 이미지 내부 정보를 가독성 있는 형태로 변환하여
출력
Computer ForensicComputer Forensic에에 필요한필요한 디스크디스크 브라우징브라우징 기능기능
이진 데이터를 폴더 및 파일 단위로 출력
파일의 이름, 크기, 속성, MAC Time, 해쉬값, 파일 시그니쳐 등 다양한 메타
데이터 출력
각 파일에 대하여 하드디스크 상의 논리적 및 물리적 위치 파악 가능
메타 데이터 각 항목별 정렬 기능
쉽고 편리하게 다룰 수 있도록 GUI 환경 구성
30 KRnet2007
데이터데이터 보기보기
최근최근 하드디스크하드디스크 용량용량 증가증가
조사 시 모든 파일을 열어서 확인 불가능
데이터데이터 자동자동 보기보기 기능기능 필요필요
브라우징 과정에서 파일을 인식
Text, Hexa, Picture 등 다양한 형식으로 자동 보기 기능 제공
31 KRnet2007
파일파일 복구복구
원리원리
파일이 삭제 되더라도 디스크에는 많은 정보가 보존된 상태로 남아 있음
윈도우윈도우 파일파일 시스템시스템 ((예예.FAT).FAT)
구성
MBR: OS를 로드하기 위해 필요한 부팅 정보가 저장되어 있는 영역
Boot Sector: 해당 파티션을 관리하기 위한 정보가 저장되어 있는 영역
FAT1: File Allocation Table1. 파일에 관련된 모든 정보가 저장되어 있는 영역
FAT2: File Allocation Table2. FAT1의 유실 대비 복사본
Directory Entry: 파일/폴더 트리 구조 정보와 이름, 시간정보, 시작 클러스터 정보
Data Sector: 실제 데이터가 저장되어 있는 영역. 실제 데이터의 내용 외에도 일부 파일이나 폴더의 Directory Entry가 들어 있음
정보 영역 데이터 영역
MBR Boot Sector FAT1 FAT2 Directory Entry Data Sector
32 KRnet2007
파일파일 복구복구
데이터 삭제FAT 영역
해당 클러스터가 “00”값으로 바뀜
Directory Entry 영역다른 정보는 그대로 있고, 이름의 첫 글자가 “E5h”로 바뀌게 됨
윈도우에서는 해당 파일은 삭제된 것으로 간주
Data Sector 영역실제 데이터가 그대로 남아 있음
실제 데이터가 그대로 남아 있기 때문에, 데이터 복구가 가능함
드라이브드라이브 포맷포맷
FAT영역과Root Direntory Entry 재설정
정보 영역 데이터 영역
MBR Boot Sector FAT1 FAT2 Directory Entry Data Sector
Data Sector 영역은 그대로 있음
33 KRnet2007
은닉은닉 데이터데이터 추출추출
NTFS NTFS 스트림스트림 / / ADS(AlternateADS(Alternate Data Stream)Data Stream)
NTFS 파일에는 일반적으로 2개 이상의 데이터 스트림이 존재
첫번째 스트림은 프로그램이나 파일 자체를 보유
두번째 스트림은 파일에 대한 보안 및 벤더 데이터
세번째 스트림은 사용자가 추가한 정보
NTFS 스트림을 이용하여 숨은 데이터 스트림을 파일/디렉토리에 추가 가능
윈도우에는 파일용 ADS를 만드는 방법만을 제공
해당 용도의 전문 S/W를 사용하여 검색해야 함
34 KRnet2007
웹웹 브라우징브라우징 히스토리히스토리 분석분석
인터넷인터넷 익스플로러에서의익스플로러에서의 중요한중요한 33가지가지 포렌식포렌식 항목항목
웹 브라우징 히스토리 - 용의자가 방문했던 웹 사이트들의 URL
쿠키 - 웹 브라우징 시에 저장된 정보
임시 인터넷 파일(Temporary Internet Files)
웹 브라우징 히스토리와 하드 드라이브 상에서 웹 페이지를 구성할 수 있는 파일들
을 저장
차후에 동일 웹페이지 방문 시 속도 향상을 위해 웹 페이지 복사본을 저장
index.datindex.dat
위의 3가지 디렉토리는 index.dat 파일을 포함
URL과 쿠키 파일들, 그리고 로컬하게 저장된 캐쉬 파일들을 대한 카탈로그
웹 브라우징 히스토리 분석을 위한 주된 파일임
웹웹 브라우징브라우징 히스토리히스토리 분석분석 도구도구
Encase, FTK, IE History, Galleta, Pasco
35 KRnet2007
EE--메일메일 분석분석
EE--메일메일 저장소저장소(repository)(repository)
사용자가 주고 받은 e-메일들을 저장하는 공간
포렌식 관점에서 분석 필요
Outlook Express (DBX) eOutlook Express (DBX) e--메일메일
자체 2진 e-메일 포맷 사용
Folders DBX file
특정 사용자의 다른 DBX 파일들에 대한 카탈로그 파일
파일 헤더, 폴더 노드, 인덱스 엔트리, 데이터 블록, 데이터 엔트리로 구성됨
위치는 C:\Documents and Settings\suspect\Local Settings\Application Data\Identities\{339048E9-5BFB}\Microsoft\Outlook Express
E-mail DBX file실제 e-메일 메시지와 첨부 파일이 저장됨
각 파일은 Outlook Express 보기 창에서 각각의 폴더가 됨Inbox, Sent items, Drafts, Deleted Items, etc
EE--메일메일 분석분석 도구도구
FTK, Paraban’s Network E-mail Examiner, Eindeutig, munpack
Folders DBX
File
Inbox
E-Mail DBX
Sent Items
E-Mail DBX
Drafts
E-Mail DBX
Deleted Items
E-Mail DBX
36 KRnet2007
레지스트리레지스트리 분석분석
MS MS 윈도우윈도우 레지스트리레지스트리
다음과 같은 정보를 담고 있음
인스톨된 프로그램
가장 최근에 사용된 문서
가장 최근에 방문한 웹 사이트
MS 윈도우 레지스트리 파일들
default, software, system
위치는 C:\windows\system32\config
MS 고유 2진 포맷으로 된 레지스트리 정보를 담고 있음
사용자 레지스트리 파일들
위치는 C:\Documents and Settings\<<userprofile>>\ntuser.dat
MRU(Most Recently Used) 문서 등과 같은 사용자 관련 정보를 담고 있음
레지스트리레지스트리 분석분석 도구도구
FTK, Encase, Windows Registry Editor (regedit), regmon
37 KRnet2007
레지스트리레지스트리 분석분석
포렌식포렌식 관점에서의관점에서의 레지스트리레지스트리 분석분석 방법방법
GUI를 이용한 라이브 시스템 분석 (regedit)
분석 용이
분석 중 데이터 내용이 변경될 수 있음
커맨드 라인을 이용한 라이브 시스템 분석
레지스트리 정보를 수집하는 프로파일의 수준이 낮음
reg 커맨드는 주어진 키들에 대한 고유 정보 수집에 사용 가능
원격 라이브 시스템 분석 (regedit)
관리자가 사용자가 인식하지 않은 상태로 원격 시스템 상에서 레지스트리를 조사할
수 있음
레지스트리 파일에 대한 오프라인 분석 (Encase 같은 분석 도구)
다이나믹한 정보 손실 가능성
탐색하기 어려운 구조로 되어 있으며 링크 손실
38 KRnet2007
로그로그 분석분석
이벤트이벤트 로그로그
표준 로그 저장소(repository)
사용자가 컴퓨터 상에서 무엇을 작업했고 또한 컴퓨터가 자체적으로 무엇을 했었는지
에 대한 정보 제공
애플리케이션 로그, 시스템 로그, 보안 로그
이벤트이벤트 로그로그 보기를보기를 위한위한 표준표준 메커니즘메커니즘
Microsoft Event Viewer
커맨드 프롬프트에 “eventvwr” 입력
디폴트로 로컬 이벤트 로그들을 볼 수 있음
조사자에게 유용한 필터링과 익스포팅 기능 제공
39 KRnet2007
로그로그 분석분석
애플리케이션애플리케이션 로그로그
애플리케이션들에 대한 정보를 담고 있음
포렌식 관점에서의 체크 포인트
소프트웨어 인스톨 확인, 바이러스 감염 여부 확인, 방화벽 스타트업/셧다운 여부
해킹 시도가 있었는지 여부 탐지
시스템시스템 로그로그
OS에 의해 생성된 이벤트들은 시스템 로그에서 캡쳐됨
S/W와 H/W 인스톨, 프린트 작업, 네트워크 레벨 이벤트
포렌식 관점에서의 체크 포인트
이벤트 로그 시작/종료, 시스템 종료/재시작, 서비스 팩 업데이트/인스톨, 로그온 실패 여부, 컴퓨
터 정보 변경
보안보안 로그로그
로그인/로그아웃 정보와 여러 보안 관련 기능에 관한 데이터를 담고 있음
액세스 시도와 정책 변경 등
보안 로그 수집은 디폴트로 오프되어 있음
40 KRnet2007
디지털디지털 증거증거 분석분석 기술에기술에 관한관한 향후향후 발전발전 방향방향
지속적인지속적인 사용자사용자((분석관분석관) ) 요구요구 사항사항 수렴수렴 및및 분석을분석을 통한통한 기능기능 추가추가
다양한 플랫폼 지원 기능
네트워크 정보 분석 기능
정형 DB 분석 기능
데이터 수집시 스냅샷·목록화·이미징·쓰기방지 설정 기능
증거 수집 및 분석 과정 자동 로깅 기능
자동화된 보고서 작성 기능
메신저 분석 기능
특정 패턴 자동 검색 기능
주요 파일 포맷 분류 기능
기존기존 주요주요 기능들에기능들에 대한대한 성능성능 향상향상
손상 데이터 복구 기능 강화
검색·분석 시간 단축
스왑파일/슬랙영역 검색 기능 강화
41 KRnet2007
디지털디지털 증거증거 검색검색
Hash Hash 검색검색
IndexIndex--based based 검색검색
Bitwise Bitwise 검색검색
디지털디지털 증거증거 검색검색 기술기술
42 KRnet2007
디지털디지털 증거증거 검색검색
디지털디지털 증거증거 검색검색
컴퓨터 포렌식은 원하는 데이터를 찾기 위한 검색의 반복
최근 개인용 컴퓨터의 하드 디스크는 200GByte대가 넘어가고 있으므로, 하나의
디스크 안에는 수많은 파일이 존재하게 됨
따라서, 방대한 양의 디지털 정보 중 원하는 정보를 빠른 시간 내에 검색하기
위해서는 잘 알려진 파일은 검색 대상에서 제외하고, 주목해서 검색할 대상을
선정하여, 검색 범위를 축소하는 것이 중요함
수백수백 메가메가 용량용량 기가기가//테라테라 용량용량
분석할분석할 파일과파일과
디스크의디스크의 용량용량 증가증가
43 KRnet2007
Hash Hash 기반기반 검색검색 기법기법
Hash Hash 검색검색
조사자는 Hash 검색을 통해 검색 범위를 축소하거나 검색 대상의 우선 순위를
부여할 수 있음
파일의 Hash 값은 파일의 내용에 의해 결정되므로 파일 metadata(파일명 등)
이 변경되더라도 검색 가능
Positive Hash Positive Hash 검색검색 Negative Hash Negative Hash 검색검색
-- 조사자가조사자가 찾고자찾고자 하는하는 파일파일들의들의
Hash Set (Hash Set (주요주요 검색검색 대상대상))
-- Image, movies, cracking tools Image, movies, cracking tools
같은같은 Binary ContentBinary Content
-- 검색검색 대상에서대상에서 제외제외하고자하고자 하는하는 잘잘
알려진알려진 파일들의파일들의 Hash SetHash Set
-- 운영운영 체제와체제와 프로그램프로그램 파일파일 등등
-- NSRL, NSRL, HashKeeperHashKeeper
44 KRnet2007
디지털디지털 증거증거 검색검색 대상대상 및및 방법방법
주요주요 검색검색 방법방법
검색할 대상이나 검색 방법에 따라 다음과 같이 구분 가능
검색 대상에 따라
Slack Space / Unallocated Space 기반
File 기반
검색 방법에 따라
Bitwise 검색
Index-based 검색
45 KRnet2007
IndexIndex--based based 검색검색
모든모든 파일에파일에 대하여대하여 사전에사전에 인덱스를인덱스를 생성생성
새로운새로운 단어를단어를 이용하여이용하여 빠르게빠르게 검색하거나검색하거나 반복해서반복해서 검색할검색할 때때 유용유용
Index Index 생성생성 방법방법
디스크 상의 모든 파일을 오픈
파일 상의 모든 단어를 검색
검색된 단어에 대해 인덱스를 생성
IndexIndex--based based 검색의검색의 장점장점
파일 기반의 검색이므로 MS-Office, PDF 등의 다양한 파일 포맷에 대해서 검색
이 가능
이런 파일들은 ASCII 포맷으로 저장되어 있지 않기 때문에 Bitwise 검색의
경우 매우 비효율적임
인덱싱에 시간이 많이 걸리지만 인덱싱 후에는 실시간 검색이 가능
46 KRnet2007
IndexIndex--based based 검색검색 툴툴
IndexIndex--based based 검색검색 툴툴
네이버 내PC검색
Google Desktop
dtSearch
47 KRnet2007
Bitwise Bitwise 검색검색
디스크의디스크의 처음부터처음부터 끝까지끝까지 Raw DataRaw Data에에 대해서대해서 검색검색
지워진지워진 파일이나파일이나 남겨진남겨진 조각조각 파일들도파일들도 검색검색
Bitwise Bitwise 검색의검색의 장점장점
Unallocated Space나 Slack Space 검색 가능
ASCII, Unicode 검색 뿐만 아니라 복잡한 정규 표현식(Regular Expression)
을 이용한 검색 가능
파일 헤더(Signature 등)와 같이 텍스트가 아닌 binary value도 검색 가능
48 KRnet2007
Slack SpaceSlack Space
파일에 할당된 섹터의 마지막에서 파일 내용의 끝 부분까지의 영역
Slack Space는 File Table에서 인식을 못하므로 삭제된 데이터의 일부 또는
공격자가 의도적으로 감춘 데이터가 존재할 수 있음
디스크에서 Slack Space 크기와 위치를 검사하고 디스크의 물리적 주소를 파
악하여 해당 섹터의 정보를 검색
Sector Sector Sector Sector
AFile
Slack
512 Bytes
A 파일의 크기 –1.2 MB
Bitwise Bitwise 검색검색
49 KRnet2007
SignatureSignature
운영체제는 파일 확장자를 사용하여 상응하는 어플리케이션을 연결
파일의 내용을 숨기는 방법 중 하나가 파일의 확장자를 변경하는 것임
Ex) 확장자가 “dll” 이지만 실제로는 JPEG 파일인 경우 사진파일로 인식되지 않음
하지만 확장자가 변경되었더라도 파일 헤더에 있는 Signature는 변하지 않음
확장자가 고의로 변경된 파일을 식별하기 위해서는 각 파일의 Signature와 확
장자를 비교 검색하여야 함
Bitwise Bitwise 검색검색
50 KRnet2007
Bitwise Bitwise 검색검색 툴툴
Encase (버전 6.0 이상에서는 Index-based 검색도 지원)
WinHex
Bitwise Bitwise 검색검색 툴툴
51 KRnet2007
검색검색 방법의방법의 선택선택 기준기준
IndexIndex--based based 검색검색 Bitwise Bitwise 검색검색
파일의파일의 존재존재
유무유무
파일이파일이 존재할존재할 것으로것으로 예상되예상되
는는 경우경우
파일이파일이 지워졌을지워졌을 것으로것으로 예상되는예상되는
경우경우
데이터의데이터의 타입타입PDF, Excel PDF, Excel 등의등의 파일을파일을 검색검색
할할 경우경우
Text Text 문서나문서나 파일들의파일들의 헤더를헤더를 검색검색
할할 경우경우
시간시간 제약제약연속적인연속적인 검색이나검색이나
실시간실시간 검색을검색을 원할원할 경우경우
하나의하나의 키워드키워드 또는또는 그룹의그룹의 키워드키워드
로로 검색할검색할 경우경우
검색의검색의 복잡도복잡도동의어동의어 또는또는 유사유사 단어를단어를 검검
색할색할 경우경우복잡한복잡한 정규표현식을정규표현식을 사용할사용할 경우경우
52 KRnet2007
항포렌식항포렌식(Anti(Anti--Forensic) Forensic) 이란이란??
항포렌식항포렌식 기법기법
항포렌식항포렌식 대응대응 방안방안
항항 포렌식포렌식 대응대응 기술기술
53 KRnet2007
AntiAnti--Forensic Forensic 이란이란??
AntiAnti--ForensicForensic
자신에게 불리한 증거자료를 사전에 차단하려는 활동이나 기술
개인이나 단체의 기밀자료 보호
추적 및 증거물 획득을 원천적으로 자동화된 방법으로 막아주는 전문제품 등장
데이터 복구 회피 기법
증거물 생성의 사전 봉쇄(증거 자동 삭제)
데이터 은닉(Steganography)
데이터데이터 복구복구 회피회피
증거물증거물 생성의생성의 사전사전 봉쇄봉쇄
데이터데이터 암호화암호화
MS Office 암호화, EFS, BitLocker 등
데이터데이터 은닉은닉 ((SteganographySteganography))
54 KRnet2007
Anti Forensic Anti Forensic 대응방안대응방안
Anti Forensic Anti Forensic 대응방안대응방안
데이터 복구
삭제된 증거 데이터 복구
Password 전수조사
암호화된 데이터 파일의 Password 전수조사
55 KRnet2007
Password Cracking ToolsPassword Cracking Tools
AccessDataAccessData PRTK PRTK –– Password Recovery ToolkitPassword Recovery Toolkit
MS-Office, PGP, RAR, ZIP, WS_FTP 등 잘 알려진 프로그램의 파일에 패
스워드가 설정되어 있을 경우, 패스워드를 복구
파일, 폴더, 하드 드라이브를 복호화
Microsoft EFS(Encrypted File System)에 의해 보호된 파일도 접근 가능
보호된 파일의 정보와 해당 패스워드들을 리스트 창으로 보고
http://www.accessdata.com/downloads.htm 에서 Demo 버전을 다운
Dongle이 있어야 모든 기능을 사용할 수 있음
PRTK 6.0 가격은 $595
56 KRnet2007
EnCaseEnCase EnterpriseEnterprise
EnCaseEnCase Enterprise ModulesEnterprise Modules
ProSuite for EnCase Enterprise
EDS(EnCase Decryption Suite)
VFS(Encase Virutal System)
PDE(Encase Physical Disk Emulator)
http://www.encase.com/products/ee_modules.aspx
EFS의 암호화된 파일과 폴더의 복구가 가능
Utimaco사의 디스크 기반 암호제품, Outlook의 PST 패스워드의 복구가 가능
Internet Explorer의 Protected storage area의 분석과 자동 복호가 가능
57 KRnet2007
결결 론론
디지털디지털 포렌식포렌식 연구연구 개발개발 분야분야
해외의 제품과 비교해 경쟁력 및 신뢰성 있는 한국형 디지털 포렌식 도
구 개발 필요
대형화 및 복잡화되는 디지털 증거에 대응할 수 있는 기술 확보
대용량 디지털 데이터 고속 검색 및 분석 기술
고속 이미징 및 압축 기술
다양한 디바이스에 대한 Embedded Forensic 기술
항 포렌식 대응 기술
e-Discovery / e-Record 연계 기술
디지털 포렌식 관련 법/제도 분석 및 대응
58 KRnet2007