owo

디지털 증거

- 컴퓨터 또는 기타 디지털 저장매체에 저장되거나 네트워크를 통해 전송 중인 자료로서 법정에서 신뢰할 수 있으며 증거 가치가 있는 정보

* IOCE

* SWGDE (미국)

디지털 증거 관련 용어

- 전자 증거

     전자기기에 저장되어 있거나 전자기기에 의해 전송되며, 증거로써 가치가 있는 정보와 데이터를 의미

디지털 증거의 종류 구분 방법

- 저장 매체의 종류, 증거의 내용, 법적 효력 또는 디지털 정보의 휘발성 정도

- 디지털 증거의 진정성과 무결성을 만족시켜주는 속성에 따라 구분

디지털 데이터의 특성

- 비가식성 및 비가독성

- 취약성

- 복제 용이성

- 대량성

- 전문성

- 휘발성

- 초국경성

디지털 증거수집 방법 및 도구

법정에서 전자적 증거 효력

- 전자적 증거를 도출한 전자적 증거 분석 도구의 신뢰성 보장

- 전자적 증거 분석 도구의 정확하고 객관적인 결과를 일관성 있게 산출 보장

일반적인 요구사항

- 유용성

- 포괄성

- 정확성

- 동일성

- 입증 가능

- 건전도 검사

디지털 포렌식 증거 획득 방법

1) 전체 디스크에 대한 분석일 경우

- 원본과 동일한 사본을 만들어서 분석

- 비할당영역 및 미사용영역에 모든 데이터 검색 후 분석

- 권장 : 포렌식 하드웨어 도구

2) 특정 폴더나 파일로 제한될 경우

- 원본과 동일한 사본을 만들어서 분석

- 비할당영역 및 미사용영역에 모든 데이터 검색 후 분석

- 권장 : 포렌식 소프트웨어 도구

증거수집 도구

- 법정에서 전자적 증거가 효력을 가지기 위해서는 전자적 증거를 도출한 전자적 증거수집도구의 신뢰성 보장

- 전자적 증거 획득 도구가 정확하고 객관적인 결과를 일관성 있게 산출한다는 것을 보장하는 능력 요구

* 하드웨어

* 소프트웨어

증거 획득 하드웨어 복제 장비

- Tableau Forensic Imager TX1

- Forensic Falcon

증거 획득 소프트웨어

- EnCase Imager

- FTK Imager

- Argos DFAS Pro

* FTK Imager

- 전 세계적으로 많이 사용되고 있는 디지털 포렌식 분석 소프트웨어 중 하나

- 사용하기 편리한 인터페이스 및 분석 처리 엔진 지원

Entries 클릭하고 Disk Image로 가야함.

Decode에서 Hex로 해두고 보여지는 창에서 Hex에서 북마크를 해둔다. 

st Primary Partition
st Partition: Boot indicator
st Partition:Partition Indicator (FAT16)
st Primary Partition: Start Sector
st Primary Partition: Sector 수

EBR - 확장 파티션
st Extended Partition: st Partition
st Extended Partition: st Partition: Boot indicator
st Extended Partition: st Partition: Partition Indicator (FAT16)
st Extended Primary Partition: st Partition: Start Sector
st Extended Primary Partition: st Partition: Sector 수

Encase에서 16진수를 10진수로 빠르게 확인 하는 법

Fist Partition: Boot indicator

Fist Partition:Partition Indicator (FAT16)

Fist Primary Partition: Start Sector

Fist Primary Partition: Sector 수

레포트 저장은 html로

ctrl+g = Go to Sector

(빨간부분)시작부분 부트색터 512byte

HeX에 가서 값을 보면 512byte를 확인 가능하다.

밑에 보면 몇 byte 드래그 한 걸 볼 수 있다.




00 01 01 00 04 1F 3F 19 3F 00 00 00 81 CC 00 00
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15


boot indicator = 00
partition-type descriptor = 04 -> 4 -> FAT16
Starting sector = 3F 00 00 00 -> little endian 00 00 00 3F (이렇게 해석 함_꺼꾸로) -> 0x3FX -> 63
Partition size = 81 CC 00 00 -> 00 00 00 CC 21 -> 0xCC81 -> (10진수) 52353

00 00 01 1A 04 1F 3F 33 C0 CC 00 00 C0 CC 00 00
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
boot indicator = 00
partition-type descriptor = 04 -> 4 -> FAT16
Starting sector = C0 CC 00 00 -> little endian 00 00 CC C0 (이렇게 해석 함_꺼꾸로) -> 0xCCC0 -> 52416
Partition size = C0 CC 00 00 -> 00 00 00 CC C0 -> 0xCCC0 -> (10진수) 52416

00 00 01 34 04 1F 3F 4D 80 99 01 00 C0 CC 00 00
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

boot indicator = 00
partition-type descriptor = 04 -> 4 -> FAT16
Starting sector = 80 99 01 00 -> little endian 00 01 99 80 (이렇게 해석 함_꺼꾸로) -> 0x19980 -> 104832
Partition size = C0 CC 00 00 -> 00 00 00 CC C0 -> 0xCCC0 -> (10진수) 52416

00 00 01 4E 05 1F 3F 9A 40 66 02 00 60 5E 02 00
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

boot indicator = 00
partition-type descriptor = 05 -> 4 -> MS Extended
Starting sector = 40 66 02 00 -> little endian 00 02 66 40 (이렇게 해석 함_꺼꾸로) -> 0x26640 -> 157248
Partition size = 60 5E 02 00 -> 00 02 5E 60 -> 0x25E60 -> (10진수) 155232