비전공자의 포렌식일기

저번 시간에는 ZIP Structure(구조)에 대한 내용을 배워보았는데요. 이제는 FAT32, FAT16과 같은 파일 시스템들을 배우기 전에 하드 디스크의 첫번째 데이터 저장 공간(0번 섹터)인 MBR에 대해서 배워보겠습니다. MBR이란?파티션의 스타일을 가르키는 약자입니다. MBR은 물리적인 저장 장치에서 확인 할 수 있는 영역으로써, HDD(하드디스크)에 첫 번째 데이터 저장 공간(0번 섹터)를 뜻하며, 하드디스크의 파티션 정보를 지니고 있습니다. 이 영역은 512byte(바이트) 크기의 영역입니다. 하지만 단일 파티션에서는 MBR이 존재하지 않고, 다중 파티션의 경우 MBR이 존재합니다. * Partition(파티션) 파티션은 단순하게 제한된 저장매체 공간(볼륨)을 보다 효율적으로 사용하기 위한 ..

이때까지 포렌식의 정의, 유형, 수사절차를 알아보았습니다. 이제는 디지털 데이터의 구성 단위에 대해서 알아보겠습니다. 디지털 데이터는 유용한 정보를 추출을 해서 법정 증거(재판에서 사용할 수 있는 증거)로 사용하기 위해 데이터가 담겨있는 의미를 정확히 파악해야 합니다. 디지털 데이터는 비트열로 구성되어 있고, 비트열은 정보의 최소 단위인 비트를 나열 해놓은 배열입니다. 비트는 데이터의 표현에 최소 단위로써 0과 1로 표현이 되며, 쉽게 설명해서 방에 있는 전등에 불이 들어오면 1, 불이 꺼지면 0으로 on, off와 같은 느낌으로 구성됩니다. 컴퓨터의 메모리, 저장 장치, 네트워크, 하드 디스크 등 디지털 시스템에 모든 데이터는 이진법(Binary)으로 데이터를 저장하고 처리합니다. 이러한 비트를 8개를..

ZIP FILE FORMAT(ZIP 파일 형식) ZIP 파일 형식은 여러 데이터들을 압축, 보관하기 위한 파일형식이다. ZIP 파일은 하나 혹은 여러개의 파일들의 크기를 줄여 압축하고 하나의 파일로 묶어서 저장한다. ZIP 파일 형식에서는 다양한 종류의 압축 알고리즘을 사용합니다. 압축 알고리즘은 크게 두 개로 나뉠수 있는데, Entropy(huffman, Arithmetic)와 사전 코딩(LZ77, LZW)으로 나눌 수 있다. ZIP 파일은 많은 사람들이 huffman(허프만 부호화)알고리즘을 쓰고 있다고 오해를 할 수 있지만 ZIP은 Deflate 알고리즘을 사용합니다. Deflate 알고리즘은 위에 나와있는 특정 알고리즘이 아니라 사전 코딩에 있는 LZ77 알고리즘을 통해 데이터를 압축하고, 중복되..

디지털 포렌식 수행절차 전통적인 아날로그 증거(혈흔, 지문)는 획득, 보관, 분석, 제출하는 과정에서 변조(훼손)될 가능성이 크지 않지만, 디지털 기기에 남아있는 디지털 데이터는 단순히 "0"과 "1"이라는 비트열로 존재하고, 저장매체에 따라 가벼운 충격이나, 전자기파에 의해 쉽게 훼손될 수 있다. 수집한 데이터가 증거가 되기 위해 반드시 지켜야 할 디지털 포렌식의 절차에 대해 살펴보자. 디지털 포렌식의 절차는 6가지 절차가 존재 한다. 사전 준비 단계, 증거 수집, 포장 및 이송, 조사 분석, 정밀 검토, 보고서 작성으로 나뉜다. 각 단계마다 무결성(integrity)을 보장하면서 원하는 데이터를 수집할 수 있는 기술을 필요로 한다. 디지털 포렌식 수사관 자격 및 선발 · 대검찰청 디지털 수사 담당간실..