디지털 증거 획득 & 디지털 증거 수집 방안

디지털 증거 획득

1. 증거 획득 방식

저장매체 복사: 원본 읽기 => 사본 쓰기

저장매체 복제: 원본의 모든 물리적 섹터 => 사본 저장매체, 비트스트림 복제

저장매체 이미징: 원본 모든 물리적 섹터 => 이미지 파일, 비트스트림 이미징

저장메체 이미지 종류

• RAW(dd) 이미지
• E01(Ex01) 이미지
• AFF, SMART, IDIF< iRBF, IEIF< ProDiscover iF, SDi32's Format 등

2. 증거 획득 장비

• Rapid Image 7020CS
• SOLO 4 Forensic Super Kit (Expansion Box + SCSI to SCSI Card)
• Super Talbeau Kit
• Tableau Set (SATA/IDE)
• PRO'S Electronics Master Kit - Briefcase Style

3. 증거 획득 도구

FTK Imager

• 지원 파일 형식: RAW/DD, SMART, EnCase E01, AFF
• 파일 크기: User-defined

Tableau Imager (with Tableau write-blockers)

• 지원 파일 형식: RAW/DD, EnCase E01, DMG
• 파일 크기: 700MB, 1G, 2G, 4G, Unlimited

EnCase (Linen)

DD (FAU DD)

디지털 증거 수집 방안

1. 온리인 수집

온라인 수집 데이터: 라이브 데이터 / 저장장치 복사 / 저장장치 이미징

 

1) 라이브 데이터

• 시스템 전원이 켜져 있는 상태에서 수집할 수 있는 데이터
• 휘발성 데이터인 메모리 데이터와 비활성 주요 데이터 포함
• 이벤트의 원인을 가장 잘 알려줄 수 있는 데이터

 

라이브 데이터 대상

• 물리 메모리
• 활성 데이터
• -네트워크 정보
• -프로세스 정보
• -사용자 로그인 정보
• -시스템 정보
• -네트워크 인터페이스 정보
• -작업스케줄러 정보
• -자동실행 정보
• 비활성 주요 데이터
• 네트워크 패킷

라이브 데이터 수집 시 고려사항

• 시스템 흔적이 최소한으로 남도록 시스템 스크립트나 커맨드라인 명령 사용
• 수집 대상 시스템의 명령 사용하지 않고 직접 준비해간 명령 사용 => 사전 준비
• 중복체크가 가능하도록 명령 중복 실행
• 스크립트 동작 과정에 대한 로그 수집
• 다양한 환경에서 명령 혹은 모듈 안전성의 반복적인 테스트
• 휘발성 민감도를 반영한 수집

비활성 주요 데이터

• 파일시스템 메타데이터
• 레지스트리
• 프리패치
• 이벤트 로그
• 웹 브라우저 메타데이터

비활성 주요 데이터 수집 시 고려사항

• 수집 효율을 위해 라이브 데이터 수집 스크립트에 포함
• 커맨드라인 명령으로 수집이 가능해야 함
• 운영체제가 점유하고 있는 파일의 수집 방안 마련
• 수집 시간을 고려해 수집 데이터 선별
• 조사관에게 수집 여부 옵션을 제공

2) 저장장치 복사

압수수색 대상이 특정 폴더나 파일로 제한될 경우

• 라이브 상태에서 특정 시간 대역이나 사용자 행위 중심으로 파일 검색 후 추출
• 라이브 상태에서 특정 키워드를 기준으로 검색 후 추출

저장장치 이미징이 불가능하거나 빠른 분석이 필요한 경우

• 라이브 상태에서 주요 분석 데이터 수집
• 리눅스 시스템의 경우, "/var/log" 폴더
• 윈도우 시스템의 경우,
• -웹 브라우저 데이터 수집
• -이메일 스토리지 파일 수집
• -볼륨 새도 복사본 수집
• -대용량 로그(웹 로구, 애플리케이션 로그 등) 수집
• -데이터 베이스 파일 수집
• -특정 시간 기준으로 생성/수정/접근된 파일 수집

복사도구

• ROBOCOPY
• XCOPY
• RichCopy
• FORECOPY
• GImageX

ROBOCOPY (Robust File Copy)

복사 주요 옵션

• /S: 비어있는 디렉터리를 제외하고 하위 디렉터리 복사
• /E: 비어있는 디렉터리를 포함해 하위 디렉터리 복사
• /MIR: 디렉터리 트리 미러링
• /COPY:FLAG: 파일 정보 복사(기본값은 /COPY:DAT
• D=데이터, A=특성, T=타임스탬프, S=보안=NTFS ACL, O=소유자, U=감사 정보)
• /COPYALL: 모든 파일 정보 복사(COPY:DATSOU)

파일 선택 주요 옵션

/IA:[RASHCNETO]: 지정된 특성을 가진 파일만 포함

/MAXAGE:yyyymmdd: yyyymmdd보다 최신 파일만 복사

/MINAGE:yyyymmdd: yyyymmdd 보다 이전 파일만 복사

/XJ: 연결지점(JUNCTION) 제외 (일반적으로 기본값)

 

다시 시도 주요 옵션

• /R:n: 실패한 복사본 다시 시도 횟수(기본값은 백만법)
• /W:n: 다시 시도 대기 시간(기본값은 30초)

로깅 주요 옵션

• /TS: 출력에 원본 파일 타임스탬프 포함
• /FP: 출력에 파일 전체 경로 이름 포함
• /ETA: 복사하는 파일의 예상 도착시간 표시
• /TEE: 로그 파일과 콘솔 창에 출력
• /LOG:FILE: 상태를 로그 파일에 출력(기존 파일을 덮어씀)

3) 저장장치 이미징

로컬 이미징

• 로컬에 직접 연결하여 이미지 수행
• 여분의 저장장치 슬롯을 이용하거나 외부 인터페이스(USB/IEEE 1394/eSATA 등) 이용

원격 이미징 

• 네트워크 케이블을 이용해 이미징 수행
• 여분의 네트워크 포트를 이용하거나 서비스 포트 사용
• 서비스 가용성을 고려하여 여유 시간대나 트래픽을 제한하여 이미징

로컬 이미징 도구

• FTK Imager(Lite)
• Tableau Imager (with Tableas W/B)
• EnCase Forensic Imager

원격 이미징 도구

• F-Response Series
• DD (Disk Dumper) + NetCat

2. 오프라인 수집

압수수색 대상이 특정 폴더나 파일로 제한된 경우

• 라이브 상태에서 특정 시간 대역이나 사용자 행위를 중심으로 파일 검색 후 추출
• 라이브 상태에서 특정 키워드를 기준으로 검색 후 추출

저장장치 복제/이미징 작업 동안 사전 분석을 위한 데이터

•  쓰기방지장치를 장착한 상태에서 시전 분석 데이터 추출
• 파일 시스템 메타데이터, 레지스트리, 프리패치, 바로가기 파일, 이벤트 로그 등

오프라인 수집 도구

쓰기방지장치(Write Blocker/Protector, WB)

• Tableau Forensic Bridge
• Forensic Dock Series
• DriveLock

복제/이미징 도구

• TD3
• Falcon
• MagiCube 2
• Image MASSter Solo-4

무결성 유지가 필요없다면

• 쓰기방지장치 없이 이미징 소프트웨어를 이용해 이미징
• 저렴한 저장장치 하드웨어 복제 도구를 이용해 복제

무결성 유지가 필요하다면

•  쓰기방지장치 하에서 이미징 소프트웨어를 이용해 이미징
• 쓰기방지기능이 내장된 포렌식 하드웨어를 이용해 이미징

전문장비 사용 이점

• 법적 소송을 대비해 저장물을 관리할 경우
• 복제 및 이미징 과정에서 대상 장치의 오류나 손상 가능성 최소화
• 압축, 암호화 기능을 통해 보관의 효율성과 기밀성 높일 수 있음