이메일을 적으시면 보안관련 소식을 받을수 있습니다.
이메일:

작성자 : EvilWinFe ( lscpjyoon@gmail.com )

편집자 : 엔시스(sis@sis.pe.kr)


- 목차 -

1. 디지털 포렌식이란 무엇인가?

->  1-1. 로카르드 교환법칙(Locard's exchange Principle)

2. 디지털 포렌식 분석을 위한 기초 지식

3. 디지털 포렌식의 기술 동향

4. 디지털 포렌식 도구 분석 ( Encase 등등)

5. 개발자 관점에서 보는 디지털 포렌식 기술

   5-1. Registry Hive  
   5-2. Web Log
   5-3. System Log

6. 향후 디지털 포렌식에 관한 견해 

※ 목차는 변경 될 수 있습니다


디지털 매체를 이용하는 범죄가 늘어 남에 따라 범죄에 사용된 디지털 매체의 자료가 수사를 해결 하는데 

결정적인 역할을 하고 있다.

 

또한 범죄 수사가 미궁 속으로 빠져들수록 사건과 관련된 증거물은 수사를 해결 하는데 실마리를 제공 

 주는 단서가 된다.

 

증거물의 중요성에 관한 법칙이 수사 관련 드라마와 영화에서 많이 언급 되었으며전세계 과학수사요원들

 원칙으로 삼는 법칙 있다.   

 

바로 프랑스의 범죄학자인 에드몽 르카르드(Dr. Edmond Locard, 1877~1966) 말한 '접촉하는  개체는

서로의 흔적을 주고 받는다.'라는 로카르드의 교환 법칙(Locard's exchange Principle)이다.

 

디지털 포렌식(Disital Forensic)에서도  법칙을 근간으로 삼아디지털 매체에 남은 흔적과 증거를 통해서

사건의 전모를 밝혀 낸다.

 

지금부터  카르드의 교환 법칙(Locard's exchange Principle) 따라 디지털 포렌식(Disital Forensic)

자세히 알아 보도록 하자.

 

현재 사용자가 가장 많이 사용 하고 있는운영체제인 Windows에서는  로그이벤트 로그,  레지스트리,

시스템 로그  다양한 흔적들이 시스템에 남겨져 있다.

 

마이크로 소프트에서는 대부분의 로그 파일들을  처리 속도 향상문제 해결  위한 로그 등의 목적으로 

사용하고 있다.

 

디지털 포렌식 관점에서 보면로그 파일에 기록된 메시지들은 컴퓨터 이용자와 컴퓨터 간의 접촉을 통해서얻어진 흔적들이 저장 되어 있기 때문에수사관들이 로그 메시지 분석을 통하여유용한 정보를 획득  있는 방법  하나 이다



       [그림 1] USB를 이용한 내부 문서 유출 파일 시나리오.

조금  예를 들어서자세히 살펴 보도록 하자.

 기업내의 직원이 USB 이용하여컴퓨터에 중요한 문서를 유출 했다고 가정을 하자.


수사관이 조사를   사건이 발생한 시간이동 디스크의 종류  세부적인 정보를 자세히 

알아   있을까?

 

Windows 운영체제에서는 로그 파일인 Setupapi.log USB 이동식 저장 장치 설치 문제 해결을 위한 

메시지를 기록해 놓는다.



                                                        [그림 2] setupapi에 대한 MSDN 설명.


또한서비스  설치  핫픽스 설치와 같은 주요 시스템 변경 사항에 대한 정보가 들어 있어,

setupapi.log 파일은 수사관들에게 유용한 정보를 제공 해준다.


Setupapi.log 자세히 살펴 보면일반적으로 OS 버전플랫폼 ID, 아키텍처  기본적인 

정보를   있으며, USB  연결 했을 경우에 대한 시각과, USB 고유 식별 번호를   있다.

고유 식별 번호는 USB 제조사에서 USB 생산하여 판매  경우, [제조 회사명] [ PID] [VID] [USB Identity] 형태로 등록 하기 때문에, USB 식별   있다



                                                       [ 그림 3] Setupapi.log의 세부적인 로그 메시지.

USB 처음 연결된 시각이 표시 되어져 있으며, USB 식별   있는 USB Identity값들이 있다.

따라서 수사관들은 Setupapi.log 통해서 USB 종류, USB 장치가 연결된 시점을   있으며,

나아가 레지스트 분석을 통하여 LastWrite(USB 장치에 마지막으로 기록한 시각),USB제거 시점을   있다.



                                        [그림 4] USB 기본적인 정보를 추출하는 프로그램

 

[그림 4] 직접 만든 프로그램을 통해 USB 연결 했을 때에 발생하는 이벤트를 처리하고,USB NAME, VID, PID, USB Identity 정보를 얻은  다이얼로그에 표시한 것이다.

 

범죄 컴퓨터의 Setupapi.log 기록  USB 정보와 [그림4] 같이 디지털 포렌식 관련 툴을 이용하여

얻은 USB정보가 서로 일치  경우범죄 현장에서 사용된 USB 장치라고 추측   있다. 

 

또한 다른 예로 살펴 보면  수사관이 구동중인 시스템과 상호 작용   여러 곳에 흔적들을 남겨 

처음 의도 했던  과는 다르게 수사를 하던 도중에 운영체제에 변화가 발생   있다.

 

이런 변화들은 영구적으로 저장 되어디지털 증거의 무결성에 영향을   있기 때문에,

수사관이 르카르드의 교환법칙을 항상 인식 하여훼손의 가능성을 줄여야 한다.

       

이와 같이 접촉하는  개체는 서로의 흔적을 주고 받는다.라는 르카르드의 교환 법칙을 설명  보았다.

앞으로도르카르드의 교환 법칙(Locard's exchange Principle) 근간으로 하여디지털 포렌식을 바라 봤으면 좋겠다.  

****************************************************************************************************

본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..

****************************************************************************************************

Posted by 비회원

댓글을 달아 주세요

  1. Favicon of https://lscpjyoon.tistory.com BlogIcon EvilWinFe 2010.08.10 01:43 신고  댓글주소  수정/삭제  댓글쓰기

    #오타 및 문법적으로 이상일 경우 지적해주시면 바로고칠 도록 하겠습니다.

  2. Favicon of https://honeyperl.tistory.com BlogIcon 동글동글 라이프 2010.08.10 04:29 신고  댓글주소  수정/삭제  댓글쓰기

    좋은 정보 감사합니다 :)

    로카르드의 교환 법칙을 보다 보면 강철의 연금술사가 생각나는(?) ㅋㅋ

  3. 로제티아 2010.08.10 10:12  댓글주소  수정/삭제  댓글쓰기

    오.. 관심있는 분야였는데 내용이 재미있네요. ^^.

  4. hindsfeet 2010.08.11 19:18  댓글주소  수정/삭제  댓글쓰기

    저는 몇번이고 USB를 넣었다 뺐다 했는데 로그에 기록이 안남는 것 같습니다.

    특별한 이유라도 있나요?

    • Favicon of https://deniallog.tistory.com BlogIcon Denial 2010.08.12 02:39 신고  댓글주소  수정/삭제

      Setupapi.log에는 USB가 최초로 삽입된 시점. 즉 드라이버가 설치된 시점이 로그로 남습니다. 그리고 윈도우 시스템을 종료할때 로그에 저장되기 때문에 로그에서 USB 정보를 못 찾으시는 걸 거에요^^

  5. hindsfeet 2010.08.17 19:06  댓글주소  수정/삭제  댓글쓰기

    그렇습니까? 호기심에 그간의 usb이용기록을 살펴보려고하니 전혀 안나오는 것 같네요.
    포스팅 관심있게 보고있습니다. 감사합니다.

  6. Favicon of http://www.moncleroutletespain.com/ BlogIcon moncler chaquetas 2013.01.04 14:36  댓글주소  수정/삭제  댓글쓰기

    Deux employés locaux du consulat britannique à Jérusalem ont été arrêté par les autorités israéliennes dans le cadre d'un projet d'attaque d'un stade de football qu'Isra, http://www.moncleroutletespain.com/ moncler chaquetas?l affirme avoir déjoué, http://www.moncleroutletespain.com/ moncler online, a indiqué lundi soir le Foreign Office, http://www.moncleroutletespain.com/ moncler españa.Related articles:


    http://boanin.tistory.com/121 http://boanin.tistory.com/121

    http://fl0ckfl0ck.tistory.com/206 http://fl0ckfl0ck.tistory.com/206