| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 |
- azure
- ISMS-P
- mysql
- 네이버클라우드
- Burp Suite
- 클라우드보안
- 클라우드자격증
- 클라우드서비스
- 정보보호
- 클라우드 자격증
- AWS SAA
- 인스턴스
- 로드밸런서
- AWS SSA
- 취약점
- RDS
- metasploit
- 공개키
- 로그분석
- ncp
- 와이어샤크
- EC2
- 파일시그니처
- Iam
- AWS
- 보안컨설팅
- 정보보안
- 개인정보보호법
- isms
- 클라우드
- Today
- Total
처음 만나는 클라우드 보안
디지털 포렌식 기초: 파일시스템과 해쉬값 본문
디지털 포렌식의 기초
모든 접촉은 흔적을 남긴다. -Dr. Edmond Locard
사이버 수사
- 사이버 범죄의 범위
- 정보통신망 침해형 범죄 - 해킹, 악성코드 유포, 랜섬웨어 등을 이용한 직접 공격
- 정보통신망 이용범죄 - 인터넷 사기, 게임 아이템 사기 등과 같은 전통적 범죄의 정보통신망 이용
- 불법 컨텐츠 범죄 - 인터넷도박, 음란사이트 등 불법 서비스 제공
디지털 포렌식의 절차
'적법한 절차'에 따른 압수 + 분석
1단계 - 사전준비 (도구 테스트, 저장매체, 준비)
2단계 - 증거수집
3단계 - 보관 및 이송
4단계 - 조사 분석
5단계 - 정밀 검토
6단계 - 보고서 작성
파일 시스템
- NTFS(Nano Techonology File System)
: 윈도우NT 운영체계가 파일을 저장하고 검색하는 규칙, 파일 시스템(File System)을 일컫는다.
- MFT(Master File Table)
: 볼륨에 존재하는 모든 파일에 대한 정보를 가진 테이블, 파일을 삭제해도 삭제한 '기록' 남아있어 디지털 포렌식 과정에서 매우 중요하다.
- 디지털 파일 정보 확보
: 압수대상 정보는 저장매체의 원본으로부터 '복제' 또는 '이미징' 작업을 통해 확보한다
- 복제 VS 이미징
: 복제 = 필요한 대상 파일만 복제함 // 이미징 = Unllocated 공간까지 bit to bit 모두 복제
슬랙(Slack)
: 슬랙은 디스크의 클러스터에서 논리적인 크기와 물리적인 크기 차이로 인해 활용되지 못하는 공간을 말한다.
장 버저장의 기본단위
- 하드디스크 => 섹터(Sector) 512Byte
- OS => 클러스터(Cluster) 8 sector(4KB)
ex) 파일 하나가 5KB일 때
ex2) 파일 시스템에서 확인되는 Slack
디지털 증거능력의 인정조건
- 내용의 동일성 <= Hash값이 동일하다.
- 절차의 무결성 <= 현장에서 재판까지 동일하다.
- 도구의 신뢰성 <= 공인된 툴로 작업이 이루어졌다.
- 취급자의 전문성 <= 전문인력에 의해 행해졌다.
참고) 만든 날짜 수정한 날짜에 의해 가변적인 메타데이터(생성 증거)는 원본가 불일치가 용인된다.
해쉬(Hash)
- Hash값이란?
: 단방향 암호화 기법으로 동일한 해쉬 함수를 통해 나온 결과도 동일하다면 두 입력값은 같다. 파일 비교에 자주 사용되는 해쉬 함수로 md5(), SHA1() 등이 있다.
- 해쉬값 (Hash): 해쉬 함수로 만들어진 1개의 값
- 해쉬 셋 (Hashset): 문제가 되는 해쉬값들의 묶음 ex) 아동 성착취 물 판별을 위한 Hashset
- 해쉬 라이브러리 (Hash Library): Hash set들의 묶음
ex) 아동성착취물 hash set + 인터넷 도박 hash set => 범죄 Library
ex) 윈도우 시스템, MS office, 포토샵 => 정상파일 Library
[정상파일 Library 참조] https://www.nist.gov/itl/ssd/software-quality-group/national-software-reference-library-nsrl
National Software Reference Library (NSRL)
Welcome to the National Software Reference Library (NSRL) Project Web Site.
www.nist.gov
Hashing 실습
해쉬값을 비교하는 툴을 사용해 파일들의 일치 여부를 판별할 수 있다.
도구: HashMyFiles.exe
프로그램 실행 > 예시 파일 10개 분석 > 같은 Hash값의 파일 확인
해쉬값이 동일한 2번, 7번 파일에 대한 파싱
참고자료
https://securitymax.tistory.com/77
NTFS의 MFT(Master File Table)란?
# MFT (Master File Table) - 볼륨에 존재하는 모든 파일과 디렉토리에 대한 정보를 가진 테이블 - NTFS의 가장 중요한 구조체이고 Windows에서 NTFS로 포맷할 경우 Windows는 MFT의 초기 크..
securitymax.tistory.com
해쉬값-https://ru-magazine.tistory.com/47
해시(hash)란?
1. 해시란 해시란 단방향 암호화 기법으로 해시함수를 이용하여 고정된 길이의 비트열로 변경한다. (여기서 단방향 암호화 기법은 암호화는 수행하지만 복호화는 불가능한 알고리
ru-magazine.tistory.com
참고) Cellebrite Premium : 아이폰의 비밀번호를 뚫은 포렌식 도구
슬랙 - https://present4n6.tistory.com/17
슬랙 공간(Slack Space)
파일 시스템에 대해 공부하다 보면 슬랙 공간이라는 개념을 접할 수 있습니다. 이번 포스팅에서는 슬랙 공간이 뭔지, 슬랙 공간에는 어떤 종류가 있는지 알아보도록 하겠습니다. 슬랙 공간(Slack
present4n6.tistory.com
'디지털 포렌식' 카테고리의 다른 글
| 디지털 포렌식 툴(Tool): 파일분석 (0) | 2022.05.23 |
|---|---|
| 디지털 포렌식 기법: FTK Imager & Autopsy 실습 (0) | 2022.05.21 |
| 네트워크 포렌식: 와이어샤크를 활용한 문제 풀이 (0) | 2022.05.20 |
| 레지스트리 포렌식 & 프리패치 포렌식 (0) | 2022.05.20 |
| 처음 만나는 디지털 포렌식 (0) | 2022.05.19 |
