디지털 포렌식 프로세스

Tableau 법의학 쓰기 차단기

디지털 포렌식 과정은 디지털 포렌식 조사에 사용되는 인정받는 과학적이고 법의학적인 과정이다.^[1]^[2]포렌식 연구원인 어한 케이시는 그것을 원래의 사고 경보에서 발견의 보고까지 이르는 여러 단계로 정의한다.^[3]이 과정은 주로 컴퓨터 및 모바일 법의학 조사에 사용되며 취득, 분석, 보고의 세 단계로 구성된다.

수사를 위해 압류된 디지털 매체를 통상 법률용어로 '출구'라고 한다.수사관들은 법원이나 민사소송에서 가설을 뒷받침하거나 반증하기 위해 디지털 증거를 복구하는 과학적인 방법을 사용한다.^[2]

인원

디지털 포렌식 프로세스의 단계에는 다양한 전문가 교육과 지식이 필요하다.대략 두 가지 수준의 인력이 있다.^[3]

디지털 포렌식 기술자: 기술자들은 범죄 현장에서 증거를 수집하거나 처리한다.이러한 기술자들은 올바른 기술 처리(예를 들어 증거 보존 방법)에 대해 교육을 받는다.정비사는 증거의 "실시간 분석"을 수행해야 할 수 있다.이 절차를 단순화하기 위한 다양한 도구들이 생산되었는데, 가장 두드러진 것은 마이크로소프트의 COFFE이다.

디지털 증거 검사자: 검사자는 광범위한 수준(즉, 컴퓨터 또는 네트워크 포렌식 등) 또는 하위 전문가(즉, 이미지 분석)로서 디지털 증거의 한 분야를 전문으로 한다.

프로세스 모델

프로세스 모델을 개발하려는 많은 시도가 있었지만 지금까지 보편적으로 받아들여진 것은 없다.그 이유의 일부는 많은 프로세스 모델이 법 집행과 같은 특정 환경을 위해 설계되었기 때문에 사고 대응과 같은 다른 환경에서는 쉽게 적용할 수 없었기 때문일 수 있다.^[4]이것은 2001년 이후 주요 모델들의 연대순으로 나열한 목록이다.^[4]

추상 디지털 포렌식 모델(Reith, et al., 2002)
통합 디지털 조사 프로세스(Carrier & Spafford, 2003) [1]
사이버 범죄 조사의 확장 모델 (Ciardhuain, 2004)
향상된 디지털 조사 프로세스 모델(Baryamureeba & Tushabe, 2004)[2]
디지털 범죄 현장 분석 모델 (Rogers, 2004)
디지털 조사 프로세스의 계층적 목표 기반 프레임워크 (Beebe & Clark, 2004)
디지털 조사를 위한 프레임워크 (Kohn, et al., 2006)[3]
4단계 포렌식 프로세스(Kent, et al., 2006)
FORSA - 디지털 포렌식 조사 프레임워크 (Ioung, 2006)[4]
사이버 포렌식 교육 및 운영을 위한 프로세스 흐름(Venter, 2006)
공통 프로세스 모델(Freiling & Schwittay, (2007) [5]
2차원 증거 신뢰성 증폭 프로세스 모델 (Khatir, et al., 2008)[6]
디지털 포렌식 조사 프레임워크 (Selamat, et al., 2008)
체계적 디지털 법의학 조사 모델 (Agarwal, et al., 2011)[7]
고급 데이터 수집 모델(ADAM): 디지털 포렌식 관행을 위한 프로세스 모델(Adams, 2012) [8]

발작

실제 검사에 앞서 디지털 매체를 압류한다.형사 사건에서 이것은 종종 증거의 보존을 보장하기 위해 기술자로 훈련된 법 집행 요원에 의해 수행될 것이다.민간의 문제에서는 보통 회사원이 될 것이고, 종종 훈련되지 않을 것이다.각종 법률은 물질의 압류를 엄수한다.형사상으로는 압수수색영장과 관련된 법률이 적용된다.민사소송에서는 직원의 사생활과 인권이 지켜지는 한 회사가 영장 없이도 자체 장비를 조사할 수 있다는 가정이다.

획득

휴대용 디스크 이미징 장치의 예

일단 전시물이 압수되면, 매체의 정확한 섹터 레벨 복제품(또는 "전원 복제품")이 보통 쓰기 차단 장치를 통해 생성된다.복제 프로세스를 이미징 또는 획득이라고 한다.^[5]복제품은 DCFLdd, IXimager, Guymager, TrueBack, EnCase, FTK 이미저 또는 FDAS와 같은 하드 드라이브 복제기 또는 소프트웨어 이미징 도구를 사용하여 생성된다.그런 다음 원래의 드라이브는 변조 방지를 위해 안전한 저장소로 반환된다.

획득한 이미지는 SHA-1 또는 MD5 해시함수를 사용하여 검증한다.분석 과정 내내 중요한 지점에서 매체는 다시 검증되어 증거가 여전히 원상태인지 확인한다.해시함수로 영상을 검증하는 과정을 '해싱'이라고 한다.

대용량 드라이브, 여러 네트워크로 연결된 컴퓨터, 종료할 수 없는 파일 서버, 클라우드 리소스 등과 관련된 문제를 고려해 디지털 포렌식 취득과 회피 프로세스를 결합한 새로운 기술이 개발됐다.

분석

획득 후 (HDD) 이미지 파일의 내용을 분석하여 가설을 지지하거나 반대하거나 변조 징후(데이터 숨기기)를 식별한다.^[6]2002년 국제 디지털 증거 저널은 이 단계를 "용의자 범죄와 관련된 증거에 대한 심층적인 체계적 탐색"^[7]이라고 언급했다.이와는 대조적으로, 2006년 브라이언 캐리어는 명백한 증거가 먼저 확인되는 "직관적 절차"에 대해 기술하고 있는데, 이 과정에서 "홀을 채우기 위해 과도한 검색을 한다"^[8]는 것이다.

분석 중에 조사자는 보통 삭제된 자료의 복구부터 시작하여 다양한 방법론(및 도구)을 사용하여 증거 자료를 복구한다.검사자는 데이터를 보고 복구하는 데 도움이 되는 전문 도구(EnCase, ILOOKIX, FTK 등)를 사용한다.복구된 데이터의 종류는 조사에 따라 다르지만 이메일, 채팅 로그, 이미지, 인터넷 기록 또는 문서 등이 그 예다.데이터는 액세스 가능한 디스크 공간, 삭제(할당되지 않은) 공간 또는 운영 체제 캐시 파일 내에서 복구할 수 있다.^[3]

다양한 유형의 기법이 증거를 복구하는 데 사용되며, 대개 관련 구문과 일치하는 내용을 식별하거나 알려진 파일 형식을 필터링하기 위해 획득된 이미지 파일 내에서 어떤 형태의 키워드 검색을 포함한다.특정 파일(그래픽 이미지 등)에는 파일의 시작과 끝을 식별하는 특정 바이트 세트가 있다.식별되면 삭제된 파일을 재구성할 수 있다.^[3]많은 법의학 도구는 해시 서명을 사용하여 중요한 파일을 식별하거나 알려진(베니그) 파일을 제외한다. 수집된 데이터는 해시 처리되며, 국립 소프트웨어 참조 라이브러리의^[5] RDS(Reference Data Set)와 같은 사전 컴파일된 목록과 비교된다.

표준 자기 하드 디스크를 포함한 대부분의 미디어 유형에서는 데이터를 안전하게 삭제한 후에는 복구할 수 없다.^[9]^[10]

일단 증거가 복구되면, 정보는 사건이나 행동을 재구성하고 결론에 도달하기 위해 분석되며, 덜 전문화된 직원이 수행할 수 있는 작업이다.^[7]특히 범죄 수사에서 디지털 수사관들은 결론은 데이터와 그들 자신의 전문가적 지식을 바탕으로 이루어지도록 해야 한다.^[3]예를 들어, 미국에서는 다음과 같은 경우에 자격을 갖춘 전문가가 "의견의 형태로든 그렇지 않은 경우" 증언할 수 있다고 명시하고 있다.

(1) 증언은 충분한 사실이나 자료에 근거하고, (2) 증언은 신뢰할 수 있는 원칙과 방법의 산물이며, (3) 증인은 사건의 사실에 근거하여 원칙과 방법을 신뢰성 있게 적용하였다.^[11]

보고

조사가 완료되면 해당 정보는 비기술자에게 적합한 형태로 보고되는 경우가 많다.보고서에는 감사 정보 및 기타 메타 문서도 포함될 수 있다.^[3]

완성되면 보통 수사를 의뢰하는 사람들(형사사건의 경우)이나 고용회사(민사사건의 경우)에게 보고가 전달되며, 이들은 법정에서 증거를 사용할지 여부를 결정한다.일반적으로 형사재판의 경우, 보고서 패키지는 증거 자체뿐만 아니라 증거에 대한 서면 전문가 결론으로 구성될 것이다(흔히 디지털 미디어에 제시된다).^[3]

참조

^ "'Electronic Crime Scene Investigation Guide: A Guide for First Responders" (PDF). National Institute of Justice. 2001.
^ ^a ^b Various (2009). Eoghan Casey (ed.). Handbook of Digital Forensics and Investigation. Academic Press. p. 567. ISBN 978-0-12-374267-4. Retrieved 4 September 2010.
^ ^a ^b ^c ^d ^e ^f ^g Casey, Eoghan (2004). Digital Evidence and Computer Crime, Second Edition. Elsevier. ISBN 0-12-163104-4.
^ ^a ^b Adams, Richard (2012). "'The Advanced Data Acquisition Model (ADAM): A process model for digital forensic practice" (PDF).
^ ^a ^b Maarten Van Horenbeeck (24 May 2006). "Technology Crime Investigation". Archived from the original on 17 May 2008. Retrieved 17 August 2010.
^ Carrier, B (2001). "Defining digital forensic examination and analysis tools". Digital Research Workshop II. CiteSeerX 10.1.1.14.8953. {{cite web}}:누락 또는 비어 있음 url=(도움말)
^ ^a ^b M Reith; C Carr; G Gunsch (2002). "An examination of digital forensic models". International Journal of Digital Evidence. CiteSeerX 10.1.1.13.9683. {{cite web}}:누락 또는 비어 있음 url=(도움말)
^ Carrier, Brian D (7 June 2006). "Basic Digital Forensic Investigation Concepts".
^ "Disk Wiping – One Pass is Enough". 17 March 2009. Archived from the original on 16 March 2010. Retrieved 27 November 2011.
^ "Disk Wiping – One Pass is Enough – Part 2 (this time with screenshots)". 18 March 2009. Archived from the original on 2011-12-23.
^ "Federal Rules of Evidence #702". Archived from the original on 19 August 2010. Retrieved 23 August 2010.

외부 링크

미국 법무부 - 디지털 증거의 법의학 조사 : 법 집행 지침서
FBI - 디지털 증거: 표준 및 원칙
Warren G. Kruse; Jay G. Heiser (2002). Computer forensics: incident response essentials. Addison-Wesley. pp. 392. ISBN 0-201-70719-5.

추가 읽기

Carrier, Brian D. (February 2006). "Risks of live digital forensic analysis". Communications of the ACM. 49 (2): 56–61. doi:10.1145/1113034.1113069. ISSN 0001-0782. S2CID 16829457. Retrieved 31 August 2010.

[first-1] "'Electronic Crime Scene Investigation Guide: A Guide for First Responders" (PDF). National Institute of Justice. 2001.

[handbook-2] Various (2009). Eoghan Casey (ed.). Handbook of Digital Forensics and Investigation. Academic Press. p. 567. ISBN 978-0-12-374267-4. Retrieved 4 September 2010.

[casey-3] ^ ^a ^b ^c ^d ^e ^f ^g Casey, Eoghan (2004). Digital Evidence and Computer Crime, Second Edition. Elsevier. ISBN 0-12-163104-4.

[adams-4] Adams, Richard (2012). "'The Advanced Data Acquisition Model (ADAM): A process model for digital forensic practice" (PDF).

[horenbeeck-5] Maarten Van Horenbeeck (24 May 2006). "Technology Crime Investigation". Archived from the original on 17 May 2008. Retrieved 17 August 2010.

[carrier-6] Carrier, B (2001). "Defining digital forensic examination and analysis tools". Digital Research Workshop II. CiteSeerX 10.1.1.14.8953. {{cite web}}:누락 또는 비어 있음 url=(도움말)

[ijde-2002-7] M Reith; C Carr; G Gunsch (2002). "An examination of digital forensic models". International Journal of Digital Evidence. CiteSeerX 10.1.1.13.9683. {{cite web}}:누락 또는 비어 있음 url=(도움말)

[df-basics-8] Carrier, Brian D (7 June 2006). "Basic Digital Forensic Investigation Concepts".

[9] "Disk Wiping – One Pass is Enough". 17 March 2009. Archived from the original on 16 March 2010. Retrieved 27 November 2011.

[10] "Disk Wiping – One Pass is Enough – Part 2 (this time with screenshots)". 18 March 2009. Archived from the original on 2011-12-23.

[rule702-11] "Federal Rules of Evidence #702". Archived from the original on 19 August 2010. Retrieved 23 August 2010.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

v t 디지털 포렌식
나뭇가지	컴퓨터 포렌식 모바일 장치 포렌식 네트워크 포렌식 데이터베이스 포렌식
하드웨어	포렌식 디스크 컨트롤러
소프트웨어	ADF 솔루션 디지털 증거 조사기 감싸다 맨 먼저 FTK PTK 포렌식 슬루트 키트 검시관 도구 키트 코피 해시키퍼 엑스플리코
인증	공인 과학 수사 컴퓨터 검사자(CFCE) 글로벌 정보 보증 인증
과정	디지털 포렌식 프로세스 데이터 수집 디지털 증거 eDiscovery 안티컴퓨터 포렌식
조직	국가 소프트웨어 참조 라이브러리 미국 디지털 포렌식 및 eDiscovery 협회 국방부 사이버범죄센터 국립 하이테크 범죄단(NHTCU) 오스트레일리아 하이테크 범죄 센터(AHTCC)
사람	메리 아이켄 애니 안톤 레베카 바이스 조시 브런티 어한 케이시 하니 패리드 심슨 가핀켈 클리포드 스톨 에릭 레이킨 로버트 지드먼
디지털 포렌식 용어집

Search

디지털 포렌식 프로세스

네임스페이스

더

목차

인원

프로세스 모델

발작

획득

분석

보고

참조

외부 링크

추가 읽기