컴퓨터 포렌식

Computer forensics
시리즈의 일부
법의학
Hard disk.jpg
생리학
사회의
범죄학
디지털 포렌식
관련 분야
관련 기사
컴퓨터 포렌식 분석에 사용되는 미디어 유형: Fujifilm FinePix디지털 카메라, 2장의 플래시 메모리 카드, USB 플래시 드라이브, 5GB iPod, CD-R 또는 DVD 기록 가능 및 Mini CD.

컴퓨터 포렌식(컴퓨터 포렌식[1] 사이언스라고도 함)은 컴퓨터와 디지털 저장 매체에서 발견된 증거와 관련된 디지털 포렌식 과학 분야입니다.컴퓨터 포렌식스의 목표는 디지털 정보에 대한 사실과 의견을 식별, 보존, 복구, 분석 및 제시하는 것을 목적으로 디지털 미디어를 법의학적으로 건전한 방법으로 검사하는 것입니다.

다양한 컴퓨터 범죄의 수사와 관련된 경우가 가장 많지만, 민사소송에서도 컴퓨터 포렌식스가 사용될 수 있습니다.이 분야에는 데이터 복구와 유사한 기술과 원칙이 포함되지만, 법적 감사 추적을 작성하도록 설계된 추가 지침과 실무가 포함됩니다.

컴퓨터 포렌식 조사에 의한 증거는 일반적으로 다른 디지털 증거와 동일한 지침 및 관행을 따릅니다.이는 많은 유명 사건에서 사용되었으며 미국과 유럽 법원 시스템 내에서 신뢰할 수 있는 것으로 받아들여지고 있습니다.

개요

1980년대 초반에는 PC에 대한 소비자의 접근성이 향상되어 범죄 활동(예를 들어 사기 행각을 돕는 것)에서 PC의 사용이 증가했습니다.동시에, 몇개의 새로운 「컴퓨터 범죄」(: 크래킹)가 인식되었습니다.컴퓨터 포렌식 분야의 규율은 법정에서 사용하기 위해 디지털 증거를 복구하고 조사하는 방법으로 이 시기에 등장했다.그 후 컴퓨터 범죄와 컴퓨터 관련 범죄가 증가하여 2002년과 [2]2003년 사이에 67% 급증했습니다.오늘날 그것은 아동 포르노, 사기, 스파이, 사이버 스토킹, 살인, 강간 등 다양한 범죄를 수사하는 데 사용된다.이 규율은 민사소송에서도 정보수집(예를 들어 전자발견)의 한 형태로 특징지어진다.

컴퓨터 시스템, 기억 매체(하드 디스크 또는 CD-ROM) 또는 전자 문서(예: 전자 메일 메시지 또는 JPEG 이미지)[3]와 같은 디지털 아티팩트의 현재 상태를 설명하기 위해 법의학적 기술과 전문 지식이 사용됩니다.법의학 분석의 범위는 단순한 정보 검색에서 일련의 사건 재구성까지 다양할 수 있습니다.2002년 컴퓨터 포렌식스(Computer Forensions)라는 책에서 저자인 크루즈(Kruse)와 하이저(Heiser)는 컴퓨터 포렌식스를 "컴퓨터 데이터의 보존, 식별, 추출, 문서화 및 해석"[4]과 관련된 것으로 정의한다.그들은 계속해서 이 분야를 "과학이라기보다 예술에 가깝다"고 묘사하며, 법의학적 방법론이 유연성과 광범위한 도메인 지식에 의해 뒷받침되고 있음을 보여준다.그러나 특정 컴퓨터에서 증거를 추출하기 위해 여러 가지 방법을 사용할 수 있지만, 법 집행에 의해 사용되는 전략은 상당히 엄격하고 [5]민간 세계에서 볼 수 있는 유연성이 부족하다.

사이버 보안

컴퓨터 포렌식스는 종종 사이버 보안과 혼동되지만 둘 다 상당히 다릅니다.사이버 보안은 예방과 보호에 관한 것이지만, 컴퓨터 포렌식은 추적과 노출 등 보다 반동적이고 능동적입니다.Cybersecurity와 Computer Forensions라는 두 개의 팀이 공동으로 작업합니다.Cybersecurity 팀이 데이터를 보호하기 위한 시스템과 프로그램을 만들고 장애가 발생했을 경우 Computer Forensic 팀이 복구하여 사건의 경위 및 추적 등을 조사하기 때문에 서로 보완합니다.하지만 이 두 분야가 서로 도움이 되는 이유는 많은 유사점들이 있다.둘 다 컴퓨터 공학에 대한 지식을 필요로 하며, 두 분야 모두 IT/[6]STEM에서 분리되어 있습니다.

컴퓨터 관련 범죄

컴퓨터 포렌식스는 물리적 및 디지털 범죄를 저지른 사람들을 유죄로 판결하는 데 사용됩니다.이러한 컴퓨터 관련 범죄에는 중단, 가로채기, 저작권 침해 및 조작이 포함됩니다.중단은 컴퓨터 부품 및 디지털 파일의 파괴 및 도난과 관련이 있습니다.가로채기는 기술 장치에 저장된 파일 및 정보에 대한 무단 액세스입니다.저작권 침해는 소프트웨어 불법 복제를 포함한 저작권이 보호된 정보를 사용, 복제 및 배포하는 것입니다.조작은 허가받지 않은 출처를 통해 시스템에 입력된 잘못된 데이터와 정보를 사용하고 있다고 비난하고 있습니다.가로채기의 예로는 은행 NSP 케이스, Sony 등이 있습니다.Sambandh.com 케이스 및 비즈니스 이메일에 의한 스캠 침해.은행은 어디의 관리 직원의 전 여자 친구는 은행 고객에게 돈을 얻기 위해 보내 졌다 사기성 메일을 결성했다 은행은 국가 안전 기획부 사롄 상황이었다.그 소니가 있다.Sambandh.com사례는 콜센터 노동자는 TV과 헤드폰을 사러 외국인의 신용 카드 정보를 사용하는.비즈니스 Emails 타협 Scams이 해커들과 그들의 직원들로부터 돈을 얻기 위해를 사용하여 CEO/CFO 이메일에 액세스 하지를 참조하십시오.[7]

증거로 사용

법정에서, 컴퓨터 법 의학적 증거 디지털 증거는을 위한 일반 요건에 따라.이 그 정보를 신뢰할 획득된 및 허용할 것을 요구한다.[8]다른 국가들 증거 회복을 위한 구체적인 지침과 연습한다.영국에서는, 조사원들은 종종 협회 증거의 신빙성과 건전성을 보장하는 최고 경찰 공무원의 지침을 따른다.반면 자발적인 가이드 라인을 널리 영국 법원에서 받아들여지고 있습니다.

컴퓨터 포렌식은 1980년대 중반부터 형법의 증거로 사용되어 왔습니다.그 중 주목할 만한 예는 다음과 같습니다.[9]

  • BTK 킬러: Dennis Rader는 16년 동안 발생한 연쇄 살인으로 유죄 판결을 받았다.이 기간이 끝날 무렵, 레이더는 플로피 디스크로 경찰에게 편지를 보냈다.문서 내의 메타데이터는 "크리스트 루터 교회"의 "데니스"라는 저자를 연루시켰으며, 이 증거는 레이더를 체포하는 데 도움을 주었다.
  • 조지프 에드워드 던컨:던컨의 컴퓨터에서 복구된 스프레드시트에는 던컨이 범행을 계획했다는 증거가 들어있었어요검찰은 이를 이용해 사전 계획을 세우고 [10]사형을 확보했다.
  • 샤론 로팟카:로팟카의 컴퓨터에 있는 수백 통의 이메일이 수사관들을 그녀의 살인범인 로버트 [9]글래스로 이끈다.
  • Corcoran 그룹:이 사건은 소송이 시작되었거나 합리적으로 예상되는 경우에 디지털 증거를 보존해야 할 당사자의 의무를 확인시켜 주었다.하드 드라이브는 컴퓨터 법의학 전문가에 의해 분석되었습니다.피고인이 가지고 있어야 할 관련 이메일을 찾을 수 없었습니다.하드디스크(HDD)에서 삭제 증거를 찾지 못했지만 피고인들이 e메일을 고의로 파기하고 원고와 법원에 중요한 사실을 오인해 공개하지 않았다는 증거가 나왔다.
  • 콘래드 머레이 박사: 사망한 마이클 잭슨의 의사 콘래드 머레이 박사는 그의 컴퓨터에 있는 디지털 증거에 의해 부분적으로 유죄 판결을 받았습니다.이 증거에는 치사량의 프로포폴을 보여주는 의료 문서가 포함되어 있었다.

법의학 과정

주요 기사:디지털 포렌식 프로세스
하드 드라이브에 연결된 휴대용 Tableau 쓰기 차단기

컴퓨터 포렌식 조사는 일반적으로 표준 디지털 포렌식 프로세스 또는 획득, 검사, 분석 및 보고 단계를 따릅니다.조사는 "실시간" 시스템이 아닌 정적 데이터(, 획득된 영상)에 대해 수행됩니다.이는 전문가 도구가 부족하여 일반적으로 실시간 데이터를 다루는 조사자로 이어지던 초기 법의학 관행과는 다른 변화입니다.

컴퓨터 포렌식 랩

컴퓨터 포렌식 랩은 제어된 환경에서 전자 데이터를 관리, 보존 및 액세스할 수 있는 안전한 보호 구역입니다.거기에는 증거의 손상이나 수정의 위험이 매우 감소한다.컴퓨터 법의학 검사관은 검사 [11]중인 장치에서 의미 있는 데이터를 도출하는 데 필요한 리소스를 가지고 있습니다.

기술

컴퓨터 포렌식 조사에서는 많은 기법이 사용되며 특히 법 집행기관에서 사용되는 많은 기법에 대해 많은 내용이 쓰여져 있습니다.

크로스 드라이브 분석
여러 하드 드라이브에서 발견된 정보를 연관짓는 포렌식 기술입니다.아직 조사 중인 이 프로세스를 사용하여 소셜 네트워크를 식별하고 이상 [12][13]검출을 수행할 수 있습니다.
실시간 분석
커스텀 포렌식 또는 기존 sysadmin 툴을 사용하여 운영체제 내에서 컴퓨터를 검사하여 증거를 추출합니다.이 방법은 암호화 파일 시스템을 다룰 때 유용합니다. 예를 들어, 암호화 키가 수집되거나 경우에 따라서는 컴퓨터가 종료되기 전에 논리 하드 드라이브 볼륨이 이미징(실시간 획득)될 수 있습니다.
삭제된 파일
컴퓨터 과학 수사에서 일반적으로 사용되는 기술은 삭제된 파일을 복구하는 것입니다.최신 법의학 소프트웨어에는 삭제된 [14]데이터를 복구하거나 잘라내기 위한 자체 도구가 있습니다.대부분의 운영 체제와 파일 시스템은 물리적 파일 데이터를 항상 지우는 것은 아니기 때문에 조사자는 물리적 디스크 섹터에서 데이터를 재구성할 수 있습니다.파일 분할에는 디스크 이미지 내에서 알려진 파일 헤더를 검색하고 삭제된 자료를 재구성하는 작업이 포함됩니다.
확률 과학 수사학
컴퓨터 시스템의 확률적 특성을 사용하여 디지털 아티팩트가 부족한 활동을 조사하는 방법.주요 용도는 데이터 도난을 조사하는 것입니다.
스테가노그래피
데이터를 숨기는 데 사용되는 기술 중 하나는 사진이나 디지털 이미지 내부에 데이터를 숨기는 과정인 스테가노그래피입니다.예를 들어, 아동의 포르노 이미지나 특정 범죄자가 발견하기를 원하지 않는 다른 정보를 숨기는 것이 있을 것이다.컴퓨터 포렌식 전문가는 파일의 해시를 보고 원본 이미지(사용 가능한 경우)와 비교하는 것으로 이 문제를 해결할 수 있습니다.육안 검사 시 이미지가 동일하게 표시되지만 데이터가 [15]변경됨에 따라 해시가 변경됩니다.

모바일 디바이스 포렌식

전화 로그:전화회사는 통상, 수신한 통화의 로그를 보관하고 있습니다.이것은, 타임 라인을 작성하고, 범죄가 [16]발생했을 때에 사람의 위치를 수집할 때에 도움이 됩니다.

연락처:연락처 목록은 피해자 또는 용의자와의 [16]연결로 인해 용의자 풀을 좁히는 데 도움이 됩니다.

텍스트 메시지:메시지에는 타임스탬프가 포함되어 원래 디바이스에서 삭제된 경우에도 회사 서버에 무기한 남아 있습니다.이 때문에 메시지는 [16]용의자를 유죄로 판결하는 데 사용할 수 있는 중요한 통신 기록으로 작용한다.

사진: 사진 [16]촬영 시점의 타임스탬프와 함께 위치 또는 장면을 표시함으로써 알리바이를 뒷받침하거나 반증하는 데 중요한 역할을 할 수 있습니다.

오디오 녹음:일부 피해자들은 공격자의 목소리나 [16]상황의 광범위한 맥락과 같이 투쟁의 핵심 순간을 녹음할 수 있었을지도 모릅니다.

휘발성 데이터

휘발성 데이터는 메모리에 저장되거나 전송 중인 모든 데이터로, 컴퓨터의 전원이 꺼지거나 전원이 꺼지면 손실됩니다.휘발성 데이터는 레지스트리, 캐시 및 Random Access Memory(RAM; 랜덤액세스 메모리)에 저장됩니다.이 휘발성 데이터에 대한 조사는 "라이브 포렌식"이라고 불립니다.

증거를 포착할 때, 기계가 여전히 활성 상태인 경우, 전원을 끄기 전에 복구되지 않은 RAM에만 저장된 모든 [10]정보가 손실될 수 있습니다.「실시간 분석」의 1개의 애플리케이션은, RAM 데이터의 리커버리입니다(예를 들면, Microsoft 의 COFEE 툴, WinDD, Windows 를 사용합니다).SCOPE)를 참조해 주세요.캡처GUARD 게이트웨이는 잠긴 컴퓨터에 대해 Windows 로그인을 바이패스하므로 잠긴 [citation needed]컴퓨터의 물리적 메모리를 분석 및 획득할 수 있습니다.

메모리 셀에 축적된 전하가 소산되는 데 시간이 걸리기 때문에 RAM은 정전 후 이전 콘텐츠에 대해 분석할 수 있습니다.는 콜드 부트 공격에 의해 이용됩니다.낮은 온도와 높은 셀 전압으로 인해 데이터를 복구할 수 있는 시간이 늘어납니다.전원 공급되지 않은 RAM을 -60°C 미만으로 유지하면 잔존 데이터를 몇 배나 보존할 수 있어 복구에 성공할 가능성이 높아집니다.그러나 현장 [17]검사 중에 이 작업을 수행하는 것은 비현실적일 수 있습니다.

그러나 휘발성 데이터를 추출하는 데 필요한 도구 중 일부는 합법적인 증거 사슬을 유지하고 기계 작업을 용이하게 하기 위해 컴퓨터가 법의학 연구소에 있어야 합니다.필요한 경우, 법 집행 기관에서는 실행 중인 실제 데스크톱 컴퓨터를 이동하는 기술을 적용합니다.여기에는 마우스 지글러가 포함되어 있어 작은 움직임으로 마우스를 빠르게 움직여 컴퓨터가 실수로 절전 모드로 전환되는 것을 방지합니다.통상, 무정전 전원 장치(UPS)는, 수송중에 전력을 공급합니다.

그러나 데이터를 캡처하는 가장 쉬운 방법 중 하나는 실제로 RAM 데이터를 디스크에 저장하는 것입니다.NTFS 및 라이저같은 저널링 기능을 갖춘 다양한 파일 시스템FS는 동작 중에 RAM 데이터의 대부분을 메인 기억 매체에 보관하고 있으며,[18] 이러한 페이지 파일을 재구성하여 RAM에 있던 것을 재구성할 수 있다.

분석 도구

다음 항목도 참조하십시오.디지털 포렌식 도구 목록

컴퓨터 포렌식 조사를 위한 수많은 오픈 소스 및 상용 도구가 있습니다.일반적인 법의학 분석에는 미디어 자료 수동 검토, Windows 레지스트리에서 의심스러운 정보 확인, 비밀번호 검색 및 크래킹, 범죄와 관련된 주제 검색, 전자 메일 및 [9]사진 추출 등이 포함됩니다.부검(소프트웨어), Belkasoft Evidence Center, COFEE, EnCase는 디지털 포렌식 분야에서 사용되는 도구입니다.

컴퓨터 포렌식 분야에서의 작업

컴퓨터 디지털 포렌식 조사관

컴퓨터 디지털 법의학 수사관들은 이 [19]사건에 사용될 수 있는 유죄 증거를 얻기 위해 용의자들의 장치와 데이터를 조사한다.

컴퓨터 프로그래머

컴퓨터 프로그래머는 컴퓨터가 실행할 시스템과 프로그램을 프로그래밍합니다.컴퓨터 포렌식스는 프로그래밍 관련 업무를 수행하며 이 분야에서 [19]일할 자격이 있습니다.

사이버 포렌식 분석가

사이버 포렌식 분석가는 데이터와 증거를 분석하고 법정에서 [19]범죄의 대상이 되는 프로세스를 사용하여 형사 및 수사관을 지원합니다.

컴퓨터 포렌식 기술자

컴퓨터 포렌식 기술자가 진행 중인 케이스와 관련된 정보를 검색합니다.개인 기기 및 스토리지 기기를 검색하여 [19]증거를 찾아 제출합니다.

인증

ISFCE Certified Computer Inspiration Professional(DFIP), ICRB Certified Computer Forension Inspiration Examinator 등 여러 컴퓨터 포렌식 인증을 사용할 수 있습니다.

(특히 EU 내에서) 벤더에 의존하지 않는 상위 인증은 [CCFP - Certified Cyber Forensis Professional [ 1 [20]]로 간주됩니다.

미국 또는 APAC에 대해 언급할 가치가 있는 기타 사항은 다음과 같습니다.International Association of Computer Investigative Specialists는 Certified Computer Examiner 프로그램을 제공합니다.

국제 법의학 컴퓨터 검사자 협회에서는 Certified Computer Examiners 프로그램을 제공하고 있습니다.

많은 상업 기반의 법의학 소프트웨어 회사들도 현재 자사 제품에 대한 독점 인증을 제공하고 있습니다.예를 들어 도구 EnCase에 대한 (EnCE) 인증을 제공하는 Guidance Software, 도구 FTK에 대한 AccessData 제공(ACE) 인증을 제공하는 PassMark Software, 도구 OSForenics에 대한 인증을 제공하는 X-Ways 소프트웨어 기술 제공(X-PERT) 인증을 제공하는 X-Ways [21]Software Technology 제공 X-Ways 등입니다.

법률

컴퓨터 포렌식 관련 법률(인도)

인도법 65-77조는 컴퓨터 범죄에 관한 것이다.모든 법률은 디지털로 원격으로 컴퓨터에 남겨진 증거에 의해 시행됩니다.[7]데이터베이스에 대한 우리의 행동을 지속적으로 추적하기 때문입니다.

제66절: 컴퓨터 해킹 방지법.그 범죄는 3년 징역이나 5라크 루피 벌금에 [7]의해 처벌될 수 있다.

제66F조: 악성코드, 피싱, 무단접속, 신원도용 등 사이버 테러에 초점을 맞춘 법률잡히면 보통 종신형으로 [7]이어집니다.

67B조: 아동 포르노의 확산과 출판을 막기 위한 법률.최고 7년의 징역과 10라크 루피의 [7]벌금에 처해질 수 있습니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ Michael G. Noblett; Mark M. Pollitt; Lawrence A. Presley (October 2000). "Recovering and examining computer forensic evidence". Retrieved 26 July 2010.
  2. ^ Leigland, R (September 2004). "A Formalization of Digital Forensics" (PDF).
  3. ^ Yasinsac, A.; Erbacher, R.F.; Marks, D.G.; Pollitt, M.M.; Sommer, P.M. (July 2003). "Computer forensics education". IEEE Security & Privacy. 1 (4): 15–23. doi:10.1109/MSECP.2003.1219052.
  4. ^ Warren G. Kruse; Jay G. Heiser (2002). Computer forensics: incident response essentials. Addison-Wesley. p. 392. ISBN 978-0-201-70719-9. Retrieved 6 December 2010.
  5. ^ Gunsch, G (August 2002). "An Examination of Digital Forensic Models" (PDF).
  6. ^ "What Is Computer Forensics?". Western Governors University. Retrieved 2022-03-04.
  7. ^ a b c d e Rajesh, K.V.N; Ramesh, K.V.N. (2016). "Computer Forensics: An Overview". I-manager's Journal on Software Engineering. 10 (4): 1–5. doi:10.26634/jse.10.4.6056. ProQuest 1816335831.
  8. ^ Adams, R. (2012). "'The Advanced Data Acquisition Model (ADAM): A process model for digital forensic practice".
  9. ^ a b c Casey, Eoghan (2004). Digital Evidence and Computer Crime, Second Edition. Elsevier. ISBN 978-0-12-163104-8.
  10. ^ a b Various (2009). Eoghan Casey (ed.). Handbook of Digital Forensics and Investigation. Academic Press. p. 567. ISBN 978-0-12-374267-4. Retrieved 27 August 2010.
  11. ^ "Chapter 3: Computer Forensic Fundamentals - Investigative Computer Forensics: The Practical Guide for Lawyers, Accountants, Investigators, and Business Executives [Book]". www.oreilly.com. Retrieved 2022-03-04.
  12. ^ Garfinkel, S. (August 2006). "Forensic Feature Extraction and Cross-Drive Analysis".
  13. ^ "EXP-SA: Prediction and Detection of Network Membership through Automated Hard Drive Analysis".
  14. ^ Aaron Phillip; David Cowen; Chris Davis (2009). Hacking Exposed: Computer Forensics. McGraw Hill Professional. p. 544. ISBN 978-0-07-162677-4. Retrieved 27 August 2010.
  15. ^ Dunbar, B (January 2001). "A detailed look at Steganographic Techniques and their use in an Open-Systems Environment".
  16. ^ a b c d e Pollard, Carol (2008). Computer Forensics for Dummies. John Wiley & Sons, Incorporated. pp. 219–230. ISBN 9780470434956.
  17. ^ J. Alex Halderman, Seth D. Schoen, Nadia Heninger, William Clarkson, William Paul, Joseph A. Calandrino, Ariel J. Feldman, Jacob Appelbaum, and Edward W. Felten (2008-02-21). "Lest We Remember: Cold Boot Attacks on Encryption Keys". Princeton University. Retrieved 2009-11-20. {{cite journal}}:Cite 저널 요구 사항 journal=(도움말)CS1 유지: 여러 이름: 작성자 목록(링크)
  18. ^ Geiger, M (March 2005). "Evaluating Commercial Counter-Forensic Tools" (PDF). Archived from the original (PDF) on 2014-12-30. Retrieved 2012-04-02.
  19. ^ a b c d "What is Computer Forensics?". devry.edu. Retrieved 2022-03-04.
  20. ^ "CCFP Salaries surveys". ITJobsWatch. Archived from the original on 2017-01-19. Retrieved 2017-06-15.
  21. ^ "X-PERT Certification Program". X-pert.eu. Retrieved 2015-11-26.

추가 정보

관련 저널

  • 정보 과학 수사 및 보안에 관한 IEEE 트랜잭션
  • 디지털 포렌식, 보안 및 법률 저널
  • 국제 디지털 범죄 및 법의학 저널
  • 디지털 조사 저널
  • 국제 디지털 증거 저널
  • 국제과학수사학회지
  • 디지털 포렌식 프랙티스 저널
  • 크립톨로지아
  • 소규모 디지털 디바이스 법의학 저널