사이버포렌식 기술

1. ROM 과 RAM

ROM : 읽기만 가능한 기억장치이며 비휘발성

PROM : 최초에 1회 기록 가능

EPROM : 기록된 전체 삭제 및 재활용 가능

EEPROM : 전기적으로 부분 데이터 삭제 기능

 

RAM : 전원이 꺼지면 내용이 지워지는 휘발성 메모리

SRAM : 빠른 쓰기가 가능하며 CPU의 Cache로 사용

DRAM :고집적으로 PC의 메인 메모리 사용

 

2. NAND와 NOR

Q) NOR와 비교했을 때 NAND의 특징으로 잘못된 것?

1) 직렬로 연결되어 있다

2) 제조단가가 싸고 대용량이다

3) 데이터 읽기 속도가 빠르다

4) 데이터 저장장치로 많이 이용된다

 

 

3. 하드디스크 구조 실린더 / 트랙 / 섹터

실린더 : 트랙 3개의 집합, 헤드의 이동없이 읽힐수 있다.

트랙 : 데이터를 물리적으로 기록하는 부분

섹터 : 주소지정할 수 있는 최소단위의 저장공간

->한 번에 읽고 쓰는 단위 512byte

+ 플레터의 윗면과 아랫면에 헤드가 있다.

헤더의 수 = 플레터 수 x 2

 

4. 섹터와 클러스터

섹터[Sector]: Disk상의 데이터 저장 최소 단위

클러스터[Cluster]: 파일의 Disk 할당 최소 단위

→ 섹터8개 = 1개 클러스터 = 4KB

 

5. CHS Vs LBA

CHS : 위치 O, 소용량, 직접계산, 구석기

LBA : 위치 X, 대용량, 계산할 필요 X, 요즘

 

6. 플레시메모리 이해하기

- 비휘발성, 전자적 (<->하드[기계적]), 보조기억장치 대체용

NOR은 삭제와 쓰기는 느림, 오류가 적고 프로그램에 사용

NAND는 고집적도, 저렴, 안전성과 읽기속도가 떨어짐, 데이터에 사용

 

 

7. 플래시메모리 특징

- one way programming : 한번 쓰면 삭제 및 수정이 불가

- Wearing earse-write cycle : 쓰기기능 소모성, Lifetime 제한

- Spare Area : Flash Memory 는 16byte의 추가적인 저장영역이 존재, 섹터에 대한 metadata 정보를 저장, 직접 접근불가

- Garbage Collection : windows의 디스크조각모음(자동)

 

8. Disk vs 플래시 파일시스템 종류

- Disk = FAT , NTFS , HFS, HFS+ , HPFS, UFS, ext2/3/4

- Flash = Erasing Block, Random Access, Wear Leveling, YAFFS, JFFS

 

9. 파일시스템 구성

- boot sector : drive의 시작 어떻게 읽어야할지 결정

- index / metadata : drive에 존재하는 파일이나 폴더 목록

- data : 각 파일에 대한 실제 data wjwkd

 

10. 파일데이터 구성

- Cluster chain : 파일의 크기가 커서 연속되거나 분산된 여러 개의 클러스터에 저장하고 이를 연결한 구조 및 형태

- Fragmentation : 하나의 파일이 연속된 클러스터에 저장되어 있지 않고 분산되어 저장되어 있는 형태 [단편화]

 

11. MBR (Master Boot Record]

- 32bit 환경에서 사용되며 파티션에 대한 위치정보 OS부팅을 위한 부트코드(=Boot sector)를 포함

- 최대 4개의 파티션 정보

- 주파티션은 최대 4개 그 외는 확장파티션으로 생성가능

 

12. FAT16 구조

 

13. NTFS 특징

데이터 복구기능, 암호화, 압축, 디스크쿼터, ADS, Sparse 파일, 대용량 지원

 

14. NTFS 구조

Boot Record(1번째 섹터), MFT, DATA(클러스터 단위)

 

15. MFT [Master File Table]

Q) NTFS 에서 메타데이터는 [ $MFT ] 에 저장된다.

 

16. 실시간 대응의 중요성

- 하드디스크 이미지 획득을 위해 시스템을 Down 시키는 것은 심각한 문제를 발생시킬 수 있다.

- 하드디스크는 이미징하는데 오래걸린다.

 

17. 무엇을 수집하는지?

- 파일 : MAC Time

[ Modify(수정), Access(접근), Creat(생성) ]

프로세스 : 시작시간, 실행시간, 동작시간, 증거자료 수집 당시 시간

 

18. 휘발성 순위 [order of valatility]

1) Registers, cache

2) Routing table, arp cache, process table, kernel statistics,

3) memory

4) Temporary file systems

5) Disk

6) 해당 시스템의 Remote logging and moitoring data

7) Physical configuration, network topology

8) Archival media

 

19. 실시간 증거수집방법

∘Local Response Methodolog

시스템에 직접 연결[USB 또는 HDD]

 

∘Remote Response Methodology

Remote에서 대상 시스템에서 접속하여 정보를 수집하는 것으로 시스템이 다수인 경우 유용[Network]

 

∘Hybrid Response Methodology

대상 시스템에서 정보를 수집하고 Remote에 잇는 수집 서버로 전송하는 방법

 

20. MD5 128bit, SHA1 160bit

 

21. cmd.exe [date /t / time/t]

- 증거수집 시 시작 날짜/시간 + 종료 날짜/시간 기록

- net user = 로컬 계정목록 상세검색

 

 

22. MRU [Most Recently Used]

- 가장 최근에 사용된 파일, 프로그램에 대한 정보

 

23. HKLM 과 HKCU

HKLM : 부팅 시 모든 사용자에게 자동 실행

HKCU : 로그인 시 해당 사용자만 자동 실행

윈도우즈는 registry, 리눅스는 conf.d

 

24. USB 획득가능 정보

제조사, 제품명, 버전, 볼륨, 사용자 식별,

최초 연결날짜 및 시간, 마지막 부팅 후 연결시간

(=setupapl.log 파일)

 

25. 작업에 따른 MAC Time 변화

- 파일 생성 : MAC 모두 일치

- 파일 다운로드 : MAC

- 메인저에 의한 파일 생성 : MAC

- 파일 내용수정 : MA

- 파일 이름변경 : A

- 파일 이동 : A

- 파일 복사 : AC [시간의 역전현상]

- 압축 해제 : AC [수정한 날짜가 변경되지 않아 만든 날짜보다 수정한 날짜가 더 빠르다]

- FAT File System은 Access Time이 미 존재.

 

26. Prefetch file

- 프로그램의 실행시간 단축을 목적으로 생성하는 파일로서 Windows XP, Windows 2003에만 존재한다. Vista 와 Windows 7의 경우 Superfetch 로 변경

 

27. Jump List

- 최근 접근한 어플리케이션 파일 및 작업정보 제공

- 어플리케이션 파일 삭제 시에도 존재

 

28. 인터넷 익스플로러 히스토리 파일 [ index.dat ]

- windows 7까지 흔적을 나타내는 기록파일

 

29. Flash memory 특성

- 1에서 0으로 값을 write 가능 반대로 불가(=일방향성)

- erase-write cycle 은 사용할 때마다 소비

- 장기보관은 HDD가 좋다. Flash는 오래되면 사라짐.

 

30. spare area

- 16byte, 섹터 당 1개의 spare area

- flash memory용량에 포함x 직접 주소지정 불가

 

31. 플래시메모리 아키텍쳐(갈수록 작은단위)

Logical unit

Block

Sector

Page

Spare(가장 하위단위)

 

32. FTL (Flash Translation Layer)

- Flash memory를 HDD와 같은 Disk drive처럼 보여지도록 하는 역활

- 플래시메모리 변환계층

- 플래시메모리 컨트롤러나 플래시메모리의 os에 존재

 

33. 데이터 추출방법

1) 일반 데이터 추출 프로그램

2) 포렌식 모바일 S/W, H/W 솔루션 사용

3) JTAG 연결[전체 비트 체크 후 오류테스트 방법]

4) Chip-off[칩 빼기]

5) 내부 회로를 광학 전자현미경으로 스캔

=>데이터 추출방법 아래로 갈수록 어렵지만 추출할 수 있는 것이 많다

 

34. 데이터 저장위치

1) SIM card

2) embedded memory

3) removable memory (SD card)

4) Service provider’s Server

[ex)통신사 서버의 가입자정보, 사용내역 등]

5) Backup PC, Cloud[백업]

 

35. 모바일 폰 데이터 추출방법 중

Micro Read (=Micro-probing)

-Invasive(침략-손상) Attack , Chip 표면에 직접 접근하

여 관찰 및 분석하는 방법

 

 

36. APDU

- 유심에서 데이터 추출하기 위해서 사용되는 프로토콜

 

37. Carving

-파일시스템이 손상되어 파티션과 파일 메타데이타가 손실된 파일의 구조, 시그니처 등의 특징을 이용하여 파일을 복구하는 것

- 대량의 데이터 집합에서 데이터들을 추출

- 파일시스템의 비할당영역에서 파일을 추출할 때 사용

- 포맷해서 메타데이터가 사라져도 시그니처를 보고 찾음

 

38. 패스워드 복구

1) Instant Password Extraction

- 패스워드 보호 기능이 취약한 메커니즘에 사용

2) “Fake” Password Creation

(=패스워드를 몰라도 해시 값만 알면)

- Fake 패스워드를 생성하여 기존의 패스워드를 변경하거나 패스워드 보호 기능을 무력화 하는 방법

3) Reset the Password

- 패스워크 값을 초기화하거나 파일의 일부를 수정하여 알려진 패스워드를 사용할 수 있도록 하는 방법

4) Dictionary Attack

- 패스워드로 사용될 만한 모든 단어들을 사전파일로 생성하고 각 단어를 대입하여 패스워드를 알아내는 방식

5) Known Plain Text Attack

- 몇 쌍의 평문과 그것에 대응한 암호문이 주어졌을 때 , 이것을 이용하 여 도청된 암호문을 해독하거나 암호 시스템에 적용된 비밀키를 분석하는 공격 방법

6) Password Variation

- 이미 다른 패스워드를 알고 있는 상태에서 암호화된 파일의 패스워드를 알고자 할 경우 사용

 

39. 파일 헤더 분석 이유

- 파일의 종류를 파악하기 위해

 

40. 보안과 보호

보안 - 있는 것조차도 있는지 모르게

보호 - 있는 것은 알려져도 가능, 막기

 

41. Data Destruction

- 산성용액 = 군, 국방

- 디가우저 = 전산실 / 고가비용

 

42. 반복삭제가 필요한 이유

- 0또는 1로 삭제 시 잔여잔성이 계속 남아있기 때문

135쪽 스테가노그래피가 무엇인지

 

43. Data streams, Data hiding [ADS]

- 파일은 하나지만 여러 개처럼 보이도록

- 데이터를 숨기거나 실행파일을 숨길 때 사용

 

44. steganography

- 정보 은닉