디지털 포렌식

디지털 포렌식(Digital Forensics)은 디지털 기기와 디지털 데이터를 조사하고 분석하여 법적인 증거로 활용할 수 있는 정보를 추출하는 과정을 의미합니다. 이는 컴퓨터, 모바일 디바이스, 네트워크 등의 디지털 시스템과 관련된 사건 조사, 사이버 범죄 수사, 데이터 복구, 디지털 증거 확보 등에 적용됩니다.

디지털 포렌식은 다양한 단계와 기술을 포함하며 다음과 같은 절차를 따릅니다:

증거 수집: 디지털 기기나 저장매체에서 증거 데이터를 수집합니다. 이는 파일, 메타데이터, 로그 파일, 이메일, 채팅 기록, 사진, 동영상 등 다양한 형태의 데이터를 포함할 수 있습니다. 수집은 원본 데이터의 무결성을 보장하기 위해 전문 도구와 절차를 사용하여 신중하게 수행됩니다.

데이터 복구: 삭제되거나 숨겨진 데이터를 복구합니다. 이는 포맷된 디스크, 삭제된 파일, 파티션 등에서 데이터를 복구하는 과정을 포함합니다. 데이터 복구 도구와 기술을 사용하여 최대한의 데이터를 회복합니다.

데이터 분석: 수집한 데이터를 분석하여 사건의 경위를 파악하고, 관련된 정보를 추출합니다. 이는 메모리 분석, 네트워크 트래픽 분석, 파일 구조 분석, 메타데이터 분석 등 다양한 분석 기법을 활용합니다. 데이터의 타임라인 작성, 연관성 분석, 키워드 검색, 패턴 인식 등을 통해 유용한 정보를 도출합니다.

증거 보존: 추출한 증거를 보존하고, 법적인 규정과 절차에 따라 증거물을 안전하게 보관합니다. 증거의 무결성과 불가변성을 보장하기 위해 체인 오브 커스터디(Chain of Custody)라는 절차를 따릅니다.

보고서 작성: 분석 결과와 발견한 증거를 정리하여 보고서로 작성합니다. 보고서는 법적인 증거로 사용될 수 있으며, 분석 과정과 결과를 명확하게 기술하여 다른 전문가나 법조인들이 이해

 

---

용어정리

이미지 파일 : dump된 데이터(수집 데이터)

무결성: 원본 데이터 훼손되지 않은 상태

연계 보관성(CoC): 사건과의 관계, 작업의 연계

아티팩트 : 증거물(인공물)

포렌식 타입

- 법정 제출 용도

- 침해사고 조사(위협)

포렌식 도구
UFED
Oxygen
FEK Imager, Autopsy, SQLiteDB, plistVierwer,m ileappGUI