디지털 증거를 수집, 보존, 분석, 현출하는데 적용되는 과학기술 및 절차를 말한다. (기술 + 절차)디지털 기기로부터 사건과 관련된 디지털 증거들을 수집하고, 그러한 증거들이 변조되지 않도록 보존하며, 증거로부터 유의미한 결과를 도출하기 위해 분석하고, 법정에서 사용할 수 있도록 적절한 형태로 현출하는 과정이 디지털 포렌식이다. .❔ 디지털 증거 해석이 왜 필요한데?디지털 증거는 물리적 증거와는 다르게, 원본의 개념이 모호하고 변조 가능성이 있기에 전문가의 해석이 요구된다. - 디지털 포렌식의 대상이 되는 디지털 증거물 기기의 확대 - 관련 기관 사이버수사국 / 국가디지털포렌식센터 디지털 포렌식의 종류 디스크 포렌식 : SSD, HDD 분석 분야. 디스크 내부 파일시스템 구조분석부터 디스크에 ..
분류 전체보기
활성 시스템 포렌식 : 활성 시스템(전원이 켜져 있는 시스템)에서 증거를 수집하여 분석하는 것 ❔ 왜 활성 시스템 포렌식이 필요할까 ❔ 1. 활성 시스템 포렌식을 통해서만 수집할 수 있는 데이터 - 현재 실행 중인 프로그램 및 작업 중이던 파일 모두 파악 가능 - 메모리 덤프 수집 가능(암호화 키나 패스워드 포함) - 해당 시스템에서만 접속 가능한 원격 시스템 정보 접근 2. 특정 상황에서 활성 시스템으로 데이터를 수집할 수 밖에 없음. - ex) 실시간으로 고객들이 접속하고 있는 웹 서버의 경우 경제적 손실을 피하기 위해 활성 시스템에서 디지털 포렌식을 진행해야 한다. ❗ 주의사항 1. CLI(Command Line Interface) 권장 - 메모리 사용이 적고, 가급적 안정성이 검증된 CLI..
FLAG- 자동 실행되고 있는 exe 파일을 MD5 해시로 계산한 값을 이용함 Timezone 레지스트리 경로 HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformationBias : 현재 시스템 시간과 UTC 시간이 얼마나 차이나는지 분 단위로 나타냄 ex) Bias 값이 -540이면, 현재 컴퓨터 시간이 UTC보다 9시간 빠르다는 뜻이다. 540분은 9시간이니까, 현재 시간에서 9시간을 빼면 UTC 시간이 됩니다. 즉, Bias가 -540이면 우리 시간대가 UTC+9라는 의미! 😊 Systeminfo : 현재 시스템의 다양한 정보들을 알 수 있는 경로 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersionBuildLabOS..
IDE (Integrated Drive Electronics) : 과거 하드디스크 연결을 위해 제작된 표준 인터페이스 규격 → 이름 ATA 로 변경 / PATA - SATA- 40핀 규격 SATA (Serial ATA) : 직렬 전송방식 이용- 기존 IDE 방식보다 더 빠르고 높은 안정성 지원 - 현재까지도 데스크톱에서 많이 이용되고 있는 인터페이스 - 4핀은 SATA간 호환성을 위한 핀 - SATA 데이터 단자 /// SATA 파워 단자- 커넥터 : SATA 데이터 커넥터 /// SATA 파워 커넥터 - 인터페이스 크기 때문에 소형 디바이스에는 적용이 어려울지도 PCI / PCIe(Peripheral Component Interconnect Bus) : 컴퓨터 메인 보드에 주변 장치를 장착하..
메모리 RAM: CPU 가 빠르게 연산할 수 있도록 데이터를 전달하기 위해 데이터를 임시적으로 보관하는 장소 메모리 덤프 : 메모리에 저장된 휘발성 데이터를 비휘발성 데이터로 저장한 데이터 - 메모리 덤프를 수행한 시각에 저장되어 있는 데이터만이 메모리 덤프의 결과! ❔ 메모리 덤프 파일과 실제 실습한 덤프 파일 크기가 상이한 이유 → 컴퓨터 RAM 과 사용하는 컴퓨터 RAM 크기의 차이 ❔ 왜 메모리 덤프 파일의 크기가 장착된 RAM 크기보다 클까?❗ 실제 컴퓨터가 메모리 레이아웃을 구성할 때에는 RAM 뿐만이 아니라 ROM, PCI 자원을 포함한다. 서로 다른 자원들을 하나의 가상 메모리 공간에 나열하여, 마치 하나의 커다란 메모리 공간이 있는 것처럼 이용하는 원리 ! → 가상 주소 공간..
: 디지털 저장매체의 복제본인 디스크 이미지를 생성하는 과정 - 디지털 저장매체에 저정되어 있는 디지털 데이터를 바이트 단위로 복제해서 하나의 파일로 저장한 것 - 디지털 저장매체와는 달리 하나의! 파일 형태로 존재한다. FTK Imagerhttps://www.exterro.com/digital-forensics-software/ftk-imager FTK Imager - Forensic Data Imaging and Preview Solution | ExterroFTK Imager, the choice for global digital forensics professionals. Quick, forensically sound data preview and imaging for electronic dev..
쿠키 Cookies 🍪 HTTP 프로토콜의 주된 특징은 1. connectionless 와 2. stateless 였다. 따라서 웹 서버는 클라언트를 매번 기억할 수 없다. ( 클라이언트의 IP 주소와 User-Agent 는 매번 변경 가능) 더보기HTTP 프로토콜 특징 Connectionless: 하나의 요청에 하나의 응답을 한 후 연결을 종료하는 것을 의미합니다. 특정 요청에 대한 연결은 이후의 요청과 이어지지 않고 새 요청이 있을 때 마다 항상 새로운 연결을 맺습니다.Stateless: 통신이 끝난 후 상태 정보를 저장하지 않는 것을 의미합니다. 이전 연결에서 사용한 데이터를 다른 연결에서 요구할 수 없습니다. 이러한 connectionless + stateless 의 특성을 갖는 HTTP 에서..
DataBase Management System DBMS : 데이터베이스를 관리하는 어플리케이션 - 데이터베이스에 새로운 정보를 기록하거나, 기록된 내용을 수정, 삭제하는 역할 DBMS 종류Relational(관계형)MySQL, MariaDB, PostgreSQL, SQLite Non-Relational(비관계형)MongoDB, CouchDB, Redis ※ 관계형은 행과 열의 집합인 테이블 형식으로 데이터를 저장하고, 비관계형은 테이블 형식이 아닌 키-값 형태로 값을 저장한다. RDBMS : 테이블 형태로 저장되는 관계형 DBMS RDBMS에서 관계 연산자는 Structured Query Language (SQL) 라는 쿼리 언어를 사용하고, 쿼리를 통해 테이블 형식의 데이터를 조작한다. SQLSt..
https://docs.docker.com/reference/cli/docker/ docker docs.docker.com Docker vs. VirtualBox의 차이점가상화 방식VirtualBox: 전체 운영체제를 포함하는 가상 머신(VM)을 생성합니다. 이는 하드웨어 에뮬레이션을 통해 게스트 OS를 완전히 독립적으로 실행하므로, 서로 다른 운영체제(예: Linux에서 Windows 실행)도 사용할 수 있습니다.Docker: 운영체제 커널을 공유하는 컨테이너를 사용합니다. 애플리케이션과 그 종속성만을 패키징하여 격리된 환경에서 실행되므로, 가상 머신보다 훨씬 가볍고 빠릅니다.리소스 사용량VirtualBox: 각 VM이 자체 운영체제를 포함하기 때문에 메모리와 CPU 등의 리소스를 많이 사용합니다.Do..
: 원격 리눅스 서버에 연결하는 가장 일반적인 방식으로, 원격서버(컴퓨터)에 연결할 수 있도록 해 주는 암호화된 네트워크 ㅡ로토콜→ 암호화를 통해 호스트와 클라이언트가 안전하게 통신할 수 있다! 사용법원격 접속ssh user@HOST -p PORT -i [개인 키 파일 경로]//user : 접속할 계정(사용자 이름)//HOST : 접속하려는 원격서버의 ip 또는 도메인 작성 //특정 포트로 접속하고 싶은 경우 -p 옵션
