포렌식 실시간 대응

포렌식 - 실시간 대응의 필요성

$1. 전자 상거래는 시스템상에서 실시간으로 처리되며 시스템이 Down되어  있는 경우 분당 수백에서 수천 달러의 손실이 발생

=> 하드디스크 이미지 획득을 위하여 시스템을 Down 시키는 것은 심각  한 문제를 발생시킬 수 있음

$2. 하드디스크 이미징에 있어서 많은 시간이 걸린다.

$3. 또한, 시스템 동작 상태에서 증거 수집이 필요할 때가 있다.

범죄에 이용되는 프로그램이 메모리에만 존재할 수 있다.

임시 저장 파일의 경우 Down시 사라질 수도 있다.

# 클라우드 환경으로의 변화

- 관련 증거를 수집하기 위해서 클라우드 시스템 전체를 이미징 할 수 없다.

- 법적 관할 쟁점, 증거 저장 위치 문제

# 기본 정보의 수집

- 시스템 기본 정보 (OS, Version, SP, Patch, Uptime, Accounts,  System Resource, Installed Packages, …)

- 시스템 특성 파악에 필요

# 시간 정보의 수집 (When)

- 현재 시간과 시스템 시간과의 차이 (시간의 동기화)

- 파일:  MAC Time

- 프로세스: 시작(실행) 시간, Uptime

- 휘발성 증거 자료의 수집 당시 시간 (해당 시간 동작 증거)

# 사용자 정보의 수집 (Who, Where)

- 시스템 등록 계정 목록, 현재 사용자 계정

- Remote User Accounts

- Remote IP Address (최대한 많은 연계 정보 수집 필요:Process,  Remote Site Infomation)

- 실제 사용자 식별 필요

# 사건 관련 정보 수집 (해킹 침해 관련)

- Process 및 관련 목록 (Process, Thread, Dll, Drv, Open Handle etc…)

- Process Activities

- Memory

- 시스템 파일 변경 여부 검사(Hash)

- Network 접속 정보 (IP, Port, IP 사용 Process, Remote User Connections,  etc…)

- Remote Server Information (whois, Server Connection Messages)

- Network Sniffing

# 사건 관련 정보 수집 (지적 재산 침해 관련)

- 숨긴 파일, 삭제된 파일, 확장자 변경 파일 검색

- 파일 사용 흔적 검색 (Registry 등의 로그 기록, 메신저 채팅 기록, 메일 등)

- 설치 프로그램 정보 (License와 대조 필요)

- USB, Removable Disk, E-Mail, P2P, 메신저, Ftp, Web Disk, Social Web,

- Mobile Phone 등 유출 경로에 대한 사용 흔적 수집

# 사건 관련 정보 수집 (인터넷 사용 관련)

- Temporary Internet Files 등의 Internet 접속 기록

- 인터넷 사용 ID, Email, Password 등의 개인 정보 등

# 증거의 분류

$1. 보관 증거

사람이 직접 작성한 데이터를 의미하며 작성자의 사상, 감정이 표현되어 있는 경우가 많다. 

 

$2. 생성 증거

미리 정해진 알고리즘에 의해 작성자가 개입하지 않더라도 여러 가지 디지털 데이터 생성 과정에서 자동으로 생성된 증거를 의미한다.