본문 바로가기

728x90

디지털포렌식8

디지털포렌식 - 1-3.디지털 증거법 제3장 디지털 증거법 제1절 증거법 일반 I. 증거의 의미 - 증거의 의미: 어떤 사실을 인정하기 위한 근거로서의 정보를 전달해주는 것 - 엄격한 증거 -> 엄격한 증명 II . 증거의 분류 - 직접 증거: 별도의 추론 단계를 거치지 않고 요증사실을 인정할 수 있는 증거 (ex. 범행현장을 직접 목격한 증인의 증언) - 간접 증거: 간접사실을 증명함에 의하여 일정한 추론을 거쳐 요증사실의 증명에 이용되는 증거 (ex. 범행현장에 남아있는 지문) - 구별실익: 정황증거만으로도 그것이 요증사실에 대한 법관의 확신을 가질 수 있게 한다면 직접증거와 다를 바 X - 인증(인적증거) : 살아 있는 사람이 증거방법이 되는 것. - 물증(물적증거) 유체물이 증거방법인 경우. 물건의 존재, 상태, 내용 등이 증거되는 .. 2024. 4. 2.

디지털포렌식 - 디지털 포렌식 관련 법률(디지털 증거의 압수수색 제1절 압수 수색 이반 I. 강제처분법정주의 - 「임의수사를 원칙」으로 하지만, “강제처분은 이 법률에 특별한 규정 이 있는 경우에 한한다.”고 하여「강제수사법정주의」를 택하고 있음. II . 압수•수색 1. 개념 - 대물적 강제처분(=증거물을 수집하기 위한 강제처분)에는 영장에 의한 압수수색검증이 있고, 긴급한 필요성에 대처하기 위하여 영장체포 현장에서의 압수 • 수색, 긴급체포 현장에서의 압수수색, 현행범 체포에 따른 압수수색에 대하여 사전 영 장주의에 대한 예외를 인정하고 있음. - 압수, 수색 -> 주로 장래 공소유지를 위한 즈억 보전차원에서 이뤄지는 강제처분 - 압수: 증거물 또는 몰수가 예상되는 물건의 점유를 취득하는 것. 강제적으로 점유를 이전하는 압수와 임의적인 이전인 영치를 합하여 통칭 .. 2024. 3. 19.

OlympicDestroyer - Volatility Contest 2018 풀이 (1)~(3) 침해 사고 개요 및 공격 시나리오 공격 대상 기관 담당자에게 악성 문서 파일이 첨부된 스피어 피싱 메일 전송 -> 메일에 첨부된 문서 파일을 다운로드 하여 열람 시 문서 파일 내에 포함된 악성코드가 실행되어 공격자의 서버와 연결 -> 감염된 시스템에 Empire를 이용하여 Credential 획득( 사용 모듈 : bypassUAC, mimikatz) -> PC-admin에 “Olympic Destroyer” 악성코드 유입 -> Domain Server에 연결된 Host-PC 접근 시도 및 악성코드 감염 시킴 -> 시스템 파괴 단서 : 첨부파일 V10 "Olympic_Session_V10" / 메일을 통해 감염. 해당 폴더로 이동 후, imageinfo를 통해 메모리 덤프가 어떤 이미지의 것인지 추측해준다.. 2024. 1. 17.

[3] ~ Prefetch 개념 및 실습 Jumplist : 최근 사용한 파일/폴더에 빠르게 접근하기 위한 구조 종류 • Automatic : 운영체제가 자동으로 남기는 항목 • Custom : 응용프로그램이 자체적으로 관리하는 항목 경로 • %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations • %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations Prefetch : 응용프로그램의 빠른 실행을 위해서 존재하는 파일 응용프로그램을 실행할 때에 생성 • 실행 파일 이름, 경로 • 실행 파일의 실행 횟수 • 실행 파일의 마지막 실행 시간 • 실행 파일의 최초 실행 시간 점프 목록 Rec.. 2023. 11. 15.

[3] $MFT 개념 및 실습 ~ 바로가기(.LNK)개념 및 실습 보호되어 있는 글 입니다. 2023. 11. 7.

[3] Windows 포렌식 개요 & Registry 개요 ~ Windows Registry 실습(2) 1. Windows 포렌식 개요 & Registry 개요 [Windows Artifacts] : Windows가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소. Windows의 사용자가 수행하는 활동에 대한 정보를 보유하고 있는 개체 생성증거 : 프로세스, 시스템에서 자동으로 생성한 데이터 보관증거 : 사람이 기록하여 작성한 데이터 레지스트리,($MFT, $Logfile, $UsnJrnl), LNK, Jumplist, Recycle Bin, Timeline, VSS, 웹브라우저 아티팩트, EventLogs Windows Artifacts를 공부할 때 가장 중요한 점: 사용자의 행위에 따라 어디에 어떤 정보가 저장될까? 컴퓨터는 대체 어떻게 작동하는 걸까? ==> 사용자는 컴퓨터로 무슨 일.. 2023. 10. 11.

이전 1 2 다음

728x90

티스토리툴바