[0&1] 디지털 포렌식 기초

[섹션 0]

01 디지털 포렌식이란 무엇인가?

디지털 포렌식

: 컴퓨터 범죄와 관련하여 디지털 장치에서 발견되는 자료를 복구&조사하는 법과학의 한 분야

 

02 디지털 포렌식의 필요성

• 해킹 등 컴퓨터 관련 범죄(해킹, 랜섬웨어, 디도스) 뿐만 아니라 일반 범죄에서도 디지털 포렌식으로 획득할 수 있는 증거가 주요 단서가 되는 경우가 많아짐.
• 범죄 수사 이외의 분야에서도 활용도가 증가.
  • 형사 사건이 아닌 인사 사건에서의 포렌식
  • 일반 기업에서의 수요가 급증(내부 정보 유출, 회계 감사 등)

 

03 디지털 포렌식의 유형과 대상

디지털 포렌식의 유형 2가지

1. 침해 사고 대응
   • 실시간
   • 사태 파악&수습
   • 엄격한 입증 필요 X
2. 증거 추출
   • 사후 조사
   • 범죄 증거 수집
   • 엄격한 입증 필요 O

디지털 포렌식의 대상

• 디스크 포렌식 - 컴퓨터 디스크(윈도우, 리눅스, MacOs / 개인, 서버, 클라우드)
• 메모리 포렌식 - 컴퓨터 메모리
• 네트워크 포렌식 - 네트워크 패킷, 네트워크 장비 로그, 네트워크 관련 설정들
• 모바일 포렌식 - 모바일 디바이스(저장소, 메모리) / IoT 디바이스
• 기타 - 데이터베이스, 암호, 회계, 소스코드 포렌식 등

 

[섹션 1]

01 앞으로 하게 될 일들

• 사건 -> 어떻게 수사할 것인가?
• 컴퓨터 / 디스트 / 메모리
• 디스크 이미징 / 디스크 마운트 / 메모리 덤프

02 디스트 이미징 & 기초 도구 다운로드 및 설명

• FTK Imager 다운로드 (-> 드라이브 생성(USB 준비) 후 실습 예정) -> 디스크 이미지
• HxD 다운로드 (O)
• everything 다운로드 (O)
• 7 ZIP  다운로드 (O)
• Notepad++  다운로드 (O)
• sysinternals Suite 다운로드 (O) -> strings, procexp, procmon
• autopsy -> 디스크 이미지 + 추가적인 가능(강력)

03 디스트 마운트, 메모리 덤프

• 디스크 이미지(USB.001) -> FTK Imager -> HxD

04 쉽게 따라하는 삭제 파일 복구

• FTK Imager를 통해서 파일 복구 가능.