Jsecurity

디지털 포렌식 중에서 안티 포렌식에 관한 Tool을 기술 하려고 합니다. 안티포렌식 (Anti Forensic) 이란? 포렌식 기술에 대응하여 자신에게 불리하게 작용할 가능성이 있는 증거물을 차단하려는 일련의 활동을 말한다. Crypture Tool의 특징 # Crypture는 1024 비트 키를 암호화하고 Windows 비트 맵 파일에 파일을 저장 # 설치가 필요없는 6KB 만 제공 (실행파일) # 모든 비트를 노이즈로 채우고 표준 스테거 분석 방법으로 건너 뜀 # 데이터 헤더는 암호화되고 분산되어 있음 Cryture.exe 속성 파일 용량이 6KB 남짓되는 크기인 스테가노그래피 Tool 악용가능성이 충분히 높아보인다. Cryture 실행 Cryture Tool 설명 비트맵(확장자: .bmp) 사진파일..

# MBR (Master Boot Record) -일반적으로 X86 환경에서 사용되며 파티션에 대한 위치를 포함한 정보, OS 부팅을 위한 부트코드(Boot Code) 등을 포함 - 부트 코드는 컴퓨터의 읽기 전용 기억장치(ROM)에 있는 부트로더 (Boot Loader 또는 부트스트랩로더)에 의해서 실행(메모리에 Load) - 4개의 파티션 정보(Primary Partition Entry)를 포함하는 파티션 테이 블(Partition Table)을 가지고 있으며 확장 파티션에 의해서 4개 이상 의 Partition을 생성할 수 있음 # 논리적인 하드디스크 구조 - 0번섹터에 MBR이 오며 그 뒤로 차례로 파티션 정보가 나오게 됩니다. # MBR의 구조 - MBR은 1섹터(512byte)로 이루어져 있다..

주요판례 – ‘일심회‘ 사건 사건 경과 ※검찰 기소 피고인들이 ‘일심회＇라는 이적단체를 구성하고, 북경 등 제3국에서 북한공작원을 접선하여 지령을 수술하였으며, 국가기밀을 탐지하여 북한에 전달하였다. 법원에 피고인들로부터 압수한 디지털 저장매체를 출력하여 증거로 제출함. ※원심에서 피고인의 주장 국가정보원에서 최초 이미지 작업 시 해쉬값을 작성하지 않았다는 증인 공소외 5의 증언 등에 비추어 볼 때 국가정보원에서 1차로 진행된 디지털 증거에 대한 포렌식 복구 수사과정에서 디지털 원본 매체의 변경 가능성이 존재한다. 이 사건 압수물인 원본 디지털 저장매체로부터 출력된 문건 내용이 원래의 데이터 내용과 다름없이 수집, 제출되었다고 보기 어려우므로, 위 문건은 증거능력이 없다. ※원심[서울고등법원 2007.0..

페이징 (paging) 페이징 방식에서는 가상메모리상의 주소공간을 일정한 크기의 페이지로 분할하게 되는데 실제 메모리 또한 가상메모리와 같은 크기로 페이지를 분할하게 된다. 페이지는 1Kbyte, 2Kbyte, 4Kbyte등으로 시스템에 따라 그 크기가 정해져 있지만 대부분의 경우 4Kbyte의 크기를 사용한다. 가상메모리란 메모리로서 실제 존재하지는 않지만 사용자에게 있어 메모리로써의 역할을 하는 가상의 메모리, 다시 말해 프로그램이 수용될 때는 가상메모리의 크기에 맞춰 수용되는 것이다. 그러나 가상메모리에 수용된 프로그램이 실행될 때는 실제 메모리를 필요로 하게 되는 것이다. 다음과 같은 예를 한번 들어보자. 우리가 컴퓨터를 전공하게 된다면 학습에 필요한 서적들은 아마도 수 백 권에 이를 것이다. 그..

1903년 12월 28일 - 1957년 2월 8일 헝가리 출신 미국인 수학자이다. 양자 역학, 함수 해석학, 집합론, 위상수학, 컴퓨터 과학, 수치해석, 경제학, 통계학 등 여러 학문 분야에 걸쳐 다양한 업적을 남겼다. 폰 노이만 (Von Neumann) 구조 CU (Control Unit)가 메모리에서 명령어를 가져와 연산(ALU)를 하고 다시 메모리에 결과를 저장하는 방식 특징 - 프로그램 내장방식 - CPU 는 하나의 단 하나의 명령어만 순차적 실행 - 데이터와 명령어의 메모리 공유 문제점 - CPU의 비효율적인 사용(한번에 하나의 처리) - 주기억장치 병목현상 (명령어, 데이터 모두 주기억에 저장) 하바드 (Harvard) 구조 명령어 메모리에서 명령을 가져와 분석 실행하고 참조 결과에 대한 저장..

1) CISC (Complex Instruction Set Computer) - HW 회로 가 복잡하여, 다양한 명령어 존재함, 명령어의 길이(바이트 수)도 다양함. - 명령어에 따른 실행 속도도 다양하게 측정됨 - 파이프라인 등의 실행 성능 개선을 위한 방법 적용이 어려움 - 현재의 x86 CPU는 내부적으로 RISC로 동작하면서 CISC명령을 에뮬레이션하는 형태를 취하고 있기 때문에 CISC 아키텍쳐가 아직까지 살아남아 있다고 주장하기는 어렵다. 사실상 사라진 기술 2) RISC (Reduced Instruction Set Computer) -IBM에서 1980년에 발표하고 MIPS를 창시한 데이비드 패터슨 교수등이 정립한 CPU의 명령어셋 아키텍처와 마이크로 아키텍처 설계에 대해 새로 제시한 개념 ..

#휘발성 데이터 (Volatile Data) 휘발성 데이터란 전원의 공급이 끊기거나 시간이 흐름에 따라 자연히 저장 공간에서 사라지는 데이터로말 그대로 휘발성을 가진 디지털 데이터를 의미하는 용어다. 일반적으로 디지털 포렌식에서는 컴퓨터가 켜져 있을 때, 보조기억장치에 해당하는 물리 메모리(RAM)에 로딩되어 있는 데이터를 가리켜 휘발성 데이터라 한다. 전원이 끊어지면 손실되는 데이터 => 초기 분석 수행 => 시스템 명 령어 및 Tool 활용 ->FDD , USB 장치 등에 수집 #종류- 현재 시스템 날짜와 시간은?- 현재 실행 되고 있는 프로세스 정보는 무엇인가?- 현재 시스템에 누가 접속 하였는가?- 현재 열려 있는 포트는 몇 번인가?- 현재 실행 되고 있는 프로그램들은 무엇인가?- (메모리에 남아..

포렌식 - 실시간 대응의 필요성 $1. 전자 상거래는 시스템상에서 실시간으로 처리되며 시스템이 Down되어 있는 경우 분당 수백에서 수천 달러의 손실이 발생=> 하드디스크 이미지 획득을 위하여 시스템을 Down 시키는 것은 심각 한 문제를 발생시킬 수 있음 $2. 하드디스크 이미징에 있어서 많은 시간이 걸린다. $3. 또한, 시스템 동작 상태에서 증거 수집이 필요할 때가 있다.범죄에 이용되는 프로그램이 메모리에만 존재할 수 있다.임시 저장 파일의 경우 Down시 사라질 수도 있다. # 클라우드 환경으로의 변화- 관련 증거를 수집하기 위해서 클라우드 시스템 전체를 이미징 할 수 없다.- 법적 관할 쟁점, 증거 저장 위치 문제 # 기본 정보의 수집- 시스템 기본 정보 (OS, Version, SP, Patc..

※한국 형사소송법상 전문법칙의 예외 1. 법원 또는 법관의 면전조서 제311조[법원 또는 법관의 조서] 공판준비 또는 공판기일에 피고인이나 피고인이 아닌 자의 진술을 기재한 조서와 법원 또는 법관의 검증의 결과를 기재한 조서는 증거로 할 수 있다.제184조 및 제221조의2의 규정에 의하여 작성한 조서도 또한 같다. 2. 검사 작성의 피의자신문조서 제312조[검사 또는 사법경찰관의 조서 등] ① 검사가 피고인이 된 피의자의 진술을 기재한 조서는 적법한 절차와 방식에 따라 작성된 것으로서 피고인이 진술한 내용과 동일하게 기재되어 있음이 공판준비 또는 공판기일에서의 피고인의 진술에 의하여 인정되고, 그 조서에 기재된 진술이 특히 신빙할 수 있는 상태하에서 행하여졌음이 증명된 때에 한하여 증거로 할 수 있다...

※증거의 의의와 종류 / 증거능력과 증명력 증거를획득할 때 유의점영장의 유무가 있어야 증거로써 인정이 가능함. 증거의 의의 – Evidence, ‘사실인정’ 의 근거가 되는 자료 ※증거의 종류 직접증거, 간접증거 – 요증사실을 직접 증명하느냐, 간접적으로 추인하느냐요증사실이란? - (소송에서 당사자의 입증을 필요로 하는 사실.)인적 증거 〮 물적 증거 〮 증거서류본증, 반증 – ‘거증책임’ 기준거증책임이란? - (증명을 요하는 사실의 존부에 관하여 증명이 불충분한 경우에 그로 인하여 불 이익을 받게되는 소송법상의 지위를 말한다.) 진술증거 - 공소관계인이 공판정에서 사실상 또는 법률상의 의견을 말하는 것의 증거 비진술증거 - 그 물건의 존재 자체만으로써의 증거 증거능력 – 증거가 ‘엄격한 증명‘ 의 자료..