디지털 포렌식 도구
-
디지털 포렌식 도구란?
- 디지털 포렌식에 있어서 원활한 분석/수사 작업을 하게끔 지원하는 장비 및 프로그램을 정의한다.
-
디지털 포렌식 도구의 요구사항
1) 유용성(Usability)
- 복잡도 문제를 해결하기 위해 추상화 계층에서 데이터와 조사관에게 도움을 주는 포맷을 제공해야 한다.
2) 포괄성(Comprehensive)
- 모든 증거를 식별할 수 있기 위해 조사관이 모든 출력 데이터에 접근할 수 있어야 한다.
3) 정확성(Accuracy)
- 오류 문제를 해결하기 위해 출력 데이터가 정확하고 결과가 적절하게 해석될 수 있도록 오류 한계가 계산된다는 것을 보장해야 한다.
4) 통일성(Deterministic)
- 정확성을 보장하기 위해 변형 규칙 집합과 입력이 주어지면 항상 동일한 출력을 산출해야 한다.
5) 입증 가능(Verifiable)
- 정확성을 보장하기 위해 결과를 입증하는 것이 가능할 필요가 있어 출력이 입증될 수 있도록 각 계층의 입력과 출력에 엑세스 할 필요가 있다.
6) 읽기 전용(Read-Only)
- 필수 요건은 아니지만 매우 권장되는 특성이다. 디지털 매체의 특성은 데이터의 정확한 사본을 쉽게 만들 수 있기 떄문에, 원본을 수정하는 도구를 사용하기 전에 사본이 만들어질 수 있다. 결과를 입증하기 위해 입력의 사본이 필요하다.
7) 건전도 검사(Sanity check)
- 모든 데이터의 값은 추상화 계층에 입력으로 사용될 수 있다. 그러나 단지 몇몇 출력은 유효할 것이다. 그러므로 조사관은 유효한 출력과 유효하지 않은 출력을 구별할 수 있어야 한다. 데이터 조사관을 지원하기 위해 표현 도구는 건전도 검사를 수행해야 하고 유효한 지를 표시해야 한다.
-
디지털 포렌식 도구 특징
1) 공개용 디지털 포렌식 프로그램
- 공개용 도구는 디스크 분석, 이메일 분석, 파일 및 데이터 분석, 인터넷 히스토리 분석, 레지스트리 분석 등 각각의 기능에 특화된 다수의 프로그램이 공개되어 있어 용도 및 부석 내용에 따라 적합한 프로그램을 사용하면 된다. 대표적인 공개 도구로는 디스크 이미징을 할 수 있는 FTK Imager, MFT를 분석할 수 있는 MFTView, 리눅스 기반의 통합 분석툴인 The Sleuth Kit, 레지스트리 분석 툴인 Regshot 등이 있다. Microsoft사에서 Windows Sysinternals 사이트를 통해 Windows 시스템의 문제를 해결하고 시스템 관리 운영과 모니터링을 위해 다양한 유틸리티를 제공하고 있다.
2) 상용 디지털 포렌식 프로그램
- 상용 도구는 공개용 도구에서 지원하는 대부분의 기능을 통합하고 FAT, NTFS, EXT, HFS 등 다양한 파일시스템을 지원 및 그래픽 유저 인터페이스(GUI)를 도입하여 사용자들이 하나의 상용 도구만으로도 포렌식 분석을 할 수 있도록 만든 통합 디지털 포렌식 프로그램이라 할 수 있다. 대표적인 상용 도구로는 FTK, EnCase, X-Ways Forensics, Final Forensic, ARGOS DFAS, MD 시리즈 등이 있다. 특히, EnCase는 Guidance Software사에서 개발 및 판매하는 디지털 포렌식 프로그램으로 전 세계적으로 가장 많이 사용되는 업계 표준의 대표적인 컴퓨터 포렌식 조사 및 분석 소프트웨어이다.
-
디지털 포렌식 도구의 종류
Encase / FTK / X-Ways Forensics / Autopsy / ProDiscover / Volatility / HxD / Ilook / Final Forensics / Intella / MIP-VFC / StegoHunt
※한가지 프로그램을 운영하는 것 보다는 장단점을 파악해 비교 및 분석하고 활용해야 효율적이고 정확한 분석을 이끌어 낸다.
-
수집·분석도구 기재요령
- 보고서에 수집과 분석에 사용된 도구는 다음과 같이 기재한다. 상업적으로 널리 사용되는 프로그램의 경우에는 프로그램만을 기재하면 족하지만 새로만든 경우에는 구체적 입증방법을 기재해야 한다.
|
도구명 |
제조사 |
버 전 |
다운로드 경로 |
용 도 |
|
WinHex |
X-Ways |
18.4.2 |
http://www.x-ways.net/winhex |
MFT 분석 |
|
FTK Imager |
AccessData |
3.3.1 |
http://accessdata.com/product-download |
이미지 생성 |
|
Volatility |
|
2.3.1 |
https://code.google.com/p/volatility |
메모리 분석 |
디지털 포렌식(노명선, 백명훈 저) 책을 참고했습니다.
'정보보안 > 디지털 포렌식' 카테고리의 다른 글
| 증거법 (0) | 2019.09.04 |
|---|---|
| 디지털 증거 보장 위한 제도적 장치 (0) | 2018.11.15 |
| NTFS(New Technology File System) (0) | 2018.10.11 |
| FAT(File Allocation Table) (0) | 2018.10.10 |
| 디지털 포렌식 5대원칙 (0) | 2018.09.30 |
댓글
이 글 공유하기
다른 글
-
디지털 증거 보장 위한 제도적 장치
디지털 증거 보장 위한 제도적 장치
2018.11.15 -
NTFS(New Technology File System)
NTFS(New Technology File System)
2018.10.11 -
FAT(File Allocation Table)
FAT(File Allocation Table)
2018.10.10 -
디지털 포렌식 5대원칙
디지털 포렌식 5대원칙
2018.09.30