1주차 : 기초부터 따라하는 디지털 포렌식 Disk Image/Mount Image/Memory Dump
1주차 : 섹션0. 디지털 포렌식 소개
섹션1. 디지털 포렌식 기초
< 개념 정리>
디지털 포렌식이란
컴퓨터 범죄와 관련하여 디지털 장치에서 발견되는 자료를 복구하고 조사하는 법과학의 한 분야
디지털 증거
디지털 포렌식 절차에 맞게 수집된 디지털 데이터 (저장매체에 저장, 네트워크 전송)로 법정에서 증거 능력을 갖는 디지털 데이터
디지털 포렌식의 필요성
- 해킹 등 컴퓨터 관련 범죄 뿐만 아니라 일반 범죄에서도 디지털 포렌식으로 획득할 수 있는 증거가 주요 단서가 되는 경우가 많아짐
- 범죄 수사 이외의 분야에서도 활용도가 증가하였음
디지털 포렌식의 유형
-침해 사고 대응 ( 실시간, 사태 파악 및 수습, 엄격한 입증 필요 x )
-증거 추출 ( 사후 조사, 범죄 증거 수집, 엄격한 입증 필요 o)
컴퓨터
- 디스크 : C,D드라이브 / 창고 , 데이터와 프로그램이 저장되어 있는 공간 (요리를 위한 식료품을 보관하는 곳)
- 메모리 : 프로그램을 실행하기 위해 필요한 공간 (요리를 하기 위해 필요한 도마, 후라이팬)
< 새로 설치한 TOOL들 >
- HxD
- Everything : 파일 검색
- 7zip : 특이한 압축파일 열 때
- notepad++ : 파일 한번에 열어서 보기 편하고 검색도 편함
- sysinternal suite : 침해사고 분석할 때 자주 사용
- ftk-imager : 디스크 이미지 관리
- autopsy : 디스크 이미 관리 + 추가적인 기능
< 새로 알게 된 것 >
ⓛ 디스크 이미징 : 디스크를 파일의 형태로 만드는 것 (전체를 가져오는게 아니라 파일의 형태로 존재해야하기 때문)
② 디스크 마운트 : 디스크 이미징 파일을 컴퓨터에 등록하는 것
③ 메모리 덤프 : 특정 시점의 상태를 사진 찍듯이 하나의 파일로 저장하는 것 (켜져있는 상태에서 파일을 추출해야 할 때)
< 실습 과정 >
Create Disk Image
- 이미지 파일 생성하기 (드라이브를 하나의 파일로 만든 것)
드라이브를 선택한 후 Select image type -> 주로 Raw (dd) / E01 (조금 더 압축된 형태)
상당한 시간 소요됨
Mount Image
- 디스크 이미지를 드라이브처럼 (하나의 파일을 드라이브처럼 인식하기)
기다리기
완료
Memory Dump
- Capture Memory
쓸모있는 데이터가 많지는 않음
Memory Dump의 형태
삭제된 파일 복구하기
Evidence Tree의 [root] 로 들어가서 x 표시 파일 -> 삭제된 파일임
복구할 파일 선택해서 → Export Files
복구 완료된 것
.
.
.
+ autopsy가 분석할 수 있는 기능들
< 인프런 - 기초부터 따라하는 디지털포렌식 강의를 듣고 정리한 내용입니다 >