Information Security/Digital Forensic (7) 썸네일형 리스트형 Linux Filesystem * Linux File Systemd의 종류와 특징 종류 설명 ext 2 (extended file system) * 리눅스 극 초기 버전에 사용된 확장 파일 시스템 - 소형 장치, 임베디드 시스템에서 자주 사용될 수 있음 - Unix 시스템의 실린더 그룹과 유사한 형태로 블록 그룹이 존재 (블록 : 외부 단편화를 줄이고 연속된 대량의 데이터를 읽을 때 디스크 탐색을 최소화 시키는 단위) [데이터 구조] 1. Superblock : File System 전반의 정보를 저장하는 블록 - 운영 체제 부팅 정보 - 파일 시스템 크기 정보 - 사용 가능한 공간 정보 - 블록 그룹을 백업한 복사본 보유 - 마운트 정보 등을 포함 2. Inode : 블록 단위로 저장되어 각 file과 Directory의 Metad.. Windows File System * File System : 컴퓨터 시스템에서 File, Directory를 조직화 하고 저장하는 방식이나 구조이며, OS와 저장 장치간의 인터페이스 역할을 수행함 * Windows 구형 File System의 종류와 특징 종류 사용 시스템 설명 FAT 12 (File Allocate Table) MS-DOS (+ Windows 10 ,macOS) * Windows 초기 파일 시스템으로 12bit 파일 할당 테이블을 사용 - 디스켓 드라이브 등의 초 저용량 저장 장치에 사용 [제한 사항] - 최대 디스크 용량 16MB - 최대 파일 크기 32KB - 파일 이름 8자 이하로 제한 - 확장자 3글자 제한 [구성] 1. 클러스터 : 디스크 공간을 일정하게 할당한 블록 (클러스터 기준 크기에 따라 파일이 해당 .. [Digital Forensic] Memory Analysis with Volatility3 * Memory Forensic : 대표적인 휘발성 정보로, Live Forensic을 수행 할 시 수집해야 할 주요 증거물로 사용 - 최근 악성코드 동향 중, 파일 형태가 아닌 메모리에만 적재되어 코드가 수행되는 등의 In Memory 악성코드도 존재 해당 게시물은 volatility 3를 기준으로 Memory Dump를 분석하는 준비 과정에 대한 설명을 상세히 함 * Memory Forensic의 난해한 부분 침해 사고가 발생되어 조사를 수행하는 경우, 침해 시점부터 상당 시간이 경과되거나 재부팅 등의 사유로 Memory의 악성 정보가 남아 있지 않는 경우가 상당함 Memory Dump를 수행하는 과정은 침해 당한 호스트에 접속하여 수행하게 되는데 이 과정에서 상당히 시간이 소요 (Windows는 굉.. [Digital Forensic] Linux Forensic * Linux System 핵심 현재 Kali Linux를 포함하여, Debian 계열의 점유율이 가장 높음 Tree 구조의 계층 형태로 파일 시스템이 존재 Shell based System (명령어 기반) File Types 일반 파일 특수 파일 (커널 자체 생성 파일 : 사용자가 생성 할 수 없음) Directory Kernel based System (리눅스 포렌식의 핵심) Windows Forensic의 핵심은 Registry * Linux Forensic 분석 방법론 1) Live Forensic - 활성(휘발성) 정보의 분석이 가능 - 리눅스 명령어의 사용이 가능 직접 접속을 통한 내부 분석 ssh로 접속하여 분석 2) Offline Forensic - Disk Snapshot, Image의 .. [Digital Forensic] Windows Forensic * Windows Forensic : 하기 게시물은 핵심이 되는 Artifact들의 개념, 빠르게 분석할 수 있는 부분들을 위주로 작성 * Artifact : 사용자가 아닌, 시스템이나 프로그램에 의해 생성되는 Metadata - 증거로써의 활용성이 높음 프로그램명 MAC (Modify / Access / Create) Time File Size 실행 횟수 경로 등 - Windows의 경우 AD (Active Directory) 설정에 따라 PC 자체에 로그 저장 사항이 남지 않는 등의 환경적 요인들에 의해 특정 아티팩트들이 제한적으로 존재할 수 있음 ex) 계정의 로그인 횟수 등 * Windows Artifacts 종류 - 각각의 Artifact는 OS 버전에 따라 위치, 이름 등이 상이할 수 있음 -.. [Digital Forensic] Digital Forensic Concept summary * Digital Forensic : 법의학적 접근으로 디지털 증거물의 효력을 입증하는... (개념은 그냥 구글링 하자) - 핵심은 디지털 수사 과정에 존재하는 "절차" 증거 능력 요건 내용 진정성 * 직접 연관된 증거물로 입증 - 굉장히 애매한 요소로, 가장 법적 분쟁이 많은 요소 원본성 * 제출한 증거가 원본임을 입증 - 분석 과정에서는 사안에 따라 사본을 제출하더라도 원본과 동일하다는 증명 가능할 시, 무관 무결성 * 데이터가 변조되지 않았다는 입증 - 활성 시스템(Live) 분석은 무결성 유지 과정의 입증이 중요 * 최근 환경적 요인을 고려하여 아래 방식으로 수행되는 경우도 존재 - 보안 서약서 - 수사관의 Body Cam 촬영 등 신뢰성 * Digital Forensic 과정에서의 입증 가능한 .. 디지털 포렌식 (Digital Forensic) * 디지털 포렌식 : 디지털 매체를 매개체로 한 범죄 행위에 대해 자료 수집, 분석, 보존하여 법적 효력을 유지, 법원에 제출할 수 있도록 하는 일련의 절차 및 방법 * 디지털 포렌식 5원칙 원칙 내용 정당성의 원칙 증거를 적법한 절차로 수집하며, 위반 시에 증거는 효력을 잃음 재현의 원칙 동릴 조건과 상황에서 항상 같은 결과 쟇녀을 보장하여야 함 연계 보관성의 원칙 증거는 획득, 이송, 분석, 보관, 법정 제출의 일련의 과정이 명확해야 하며, 이를 추적할 수 있어야 함 무결성의 원칙 수집된 정보는 각각의 과정에서 위/변조되지 않음을 입증해야 함 신속성의 원칙 수집 과정은 손실이 발생하지 않도록 신속히 진행해야 함 * 디지털 포렌식 절차 1. 수사 준비 2. 증거 수집 3. 보안/이송 4. 증거 분석 5.. 이전 1 다음
