$ 포렌식 $/$ 포렌식 기술적 이론 $
-
FTK Imager을 이용해서 디스크 이미지 만들기$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 6. 13. 01:36
FTK Toolkit 이란? 전 세계적으로 가장 많이 사용되고 있는 디지털 포렌식 분석 소프트 웨어중 하나로 사용하기 편한 인터페이스, 강력한 이메일 분석 기능 및 분산 프로세싱 능력등 강력한 기능을 가진 제품입니다. FTK Imager 이란? FTK Toolkit에 구성요소로 있는 FTK Imager 프로그램은 증거 수집 기능 과 수집된 증거를 확인 할 때 용의하게 사용할 수 있는 도구입니다. 또한 다용한 기능을 탑재하고 있어서 초보자에서 전문가 까지 자주 사용하는 도구 입니다. 현재 사용하고 있는 2GB짜리 USB가 증거 자료로 나왔다고 가정을 할때 디지털 포렌식 전문가가 가장 먼저 해야하는 작업은 무결성을 지키기 위해서 이미지 파일을 만드는 것입니다. 2기가 짜리 USB를 가지고 FTK Imager..
-
File Carving 이란?$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 6. 12. 20:21
이번에는 File Carving 이라는 단어에 대해서 이야기 해보겠습니다. 파일 카빙( File Carving ) matadata 보다는 파일 자체의 바이너리 데이터(content, signature, header, ... )를 이용해 디스크의 비활당 영역에서 파일을 복구하는 방식을 파일 카빙이라고 합니다. * 파일이 디스크에 분할되어 저장되어 있는 경우, 비연속적 카빙을 사용해야 합니다. 쉽게 이야기 해서 바이너리 데이터에서 정보 획득 후 할당 되지 않은 영역에서 파일을 복구를 이야기 합니다. 연속적인 카빙과 비연속 적인 카빙에 대한 차이는 파일이 저장될 때 분할이 되서 저장 되는가 아닌가에 차이를 둔다. 또한 파일 카빙은 시그니처 기반 카빙, 램 슬랙 카빙, 파일 구조체 카빙, 파일 크기 획득 방법 ..
-
포렌식 분석에서 중요한 타임 스탬프(Time Stemp)!!$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 6. 9. 21:47
포렌식 분석에 있어서 타임 스탬프는 중요한 의미를 갖는다. 타임 스탬프의에 따라서 사건의 경위를 추측하고 방향을 정할 수 있습니다. 그정도로 분석에 있어서 타임 스탬프는 매우 중요한 역할을 합니다. 다음에 타임 스탬프에 대해서 다시 이야기 하겠지만 간략히 이야기 해보자면.. 사전적인 뜻으로 "어떠한 것을 시간 순서에 따라서 나열한 것" 을 타임라인(Timeline)이라고 합니다. 포렌식 분야에서도 타임라인 이라는 단어를 자주 사용하지만, 그 뜻도 사전적인 의미와 거의 비슷합니다. 특정 환경, 특정 사건에 남아 있는 기록들을 시간 순으로 나열해서 정리 한 것을 의미 합니다. 기록을 시간순으로 정리 하기 위해서는 남아 있는 기록 이외에도 추가적인 정보가 필요합니다. 시스템은 어떠한 행위 또는 어떠한 작업에 ..