- 혹시나 디지털 포렌식 전문가 2급 시험을 준비하는 사람들은 아래 게시물도 추가로 참조하길 바란다
https://isc9511.tistory.com/182
* Email
- 대부분의 통상적인 메일 내용은 각 기업의 메일 서버에 저장 (네이버, 다음, 구글 etc)
- 다만, 웹 메일의 송/수신 화면을 캡처한 이미지나 파일의 내용을 복사, 저장한 텍스트 파일이 일부 존재할 가능성이 있음
(즉, 볼 수 있는 정보도 있다는 말)
- 단, Outlook 또는 Gmail의 .Mbox(백업 파일)를 제외하고는 메일 발송, 파일 첨부 등의 행위는 알 수 있지만 그 내용을 볼 수 없는 경우가 많음
* Email Client 프로그램
- 대표적으로 온라인 웹 메일에 접속하여 사용하는 방식이 아닌, PC 자체에 설치해서 사용하는 프로그램 (Outlook)
- 확장자로는 .eml, .msg, .pst, .ost가 있고 각 확장자는 개별적인 특징이 있으나 Outlook이라면 대부분 적절한 Viewer 프로그램을 사용하면 그 확인이 가능하다.
(대표적으로 .eml이 가장 확인이 쉽고 포렌식 시험 자체에서는 단골로 사용되는 이메일 파일임)
* E-mail Header 및 Body
| Header | * 확인 가능 정보 - 송/수신자 이메일 주소 - 발신 시간 정보 - 발신자 IP 정보 (X-Origination-IP) - 거쳐온 서버의 기록 (IP 등) |
| Body | - 본문 내용 확인 가능 (단, 암호화 또는 애플리케이션 특성으로 못보는 경우 제외) |
* 이메일 Viewer
- 여러 프로그램이 존재하겠지만, 포렌식 시험에서 사용됬던 MiTec Mail Viewer가 대표적인 프로그램이다.
- 이메일을 가독성 좋게 출력해주며, 내부에 첨부된 파일 이미지, 기타 포렌식 툴에서 확인하지 못했던 추가적인 Header 정보들이 포함되어 있을 수 있어 이메일 자체는 이러한 툴로 보는 것이 증거 증적에 도움이 된다.
(특히나 어떤 Header 값이 무엇을 의미하는지 한번쯤은 분류해서 미리 확인해보는 것이 차후 분석에 도움이 될 것이다)
'Information Security > Digital Forensic' 카테고리의 다른 글
| [Digital Forensic] 네트워크 정보 확인 (0) | 2024.09.26 |
|---|---|
| [Digital Forensic] Print 정보 확인 (1) | 2024.09.24 |
| [Digital Forensic] FTP 사용 흔적 (2) | 2024.09.24 |
| [Digital Forensic] EXIF 정보 확인 (0) | 2024.09.23 |
| [Digital Forensic] USB 연결 흔적 확인 (0) | 2024.09.19 |
