비전공자의 포렌식일기

안녕하세요. 이번 시간에는 Forensic Season 1A 카테고리에 입사테스트[1]을 해보겠습니다. 먼저 문제를 보겠습니다. 이전 문제에 풀었던 회사에서 이런 문제를 냈나봐요 ㅎㅎ 그럼 바로 풀어드려야죠 주어진 파일을 다운 받아봅시다. zip파일로 되어있네요 그럼 압축을 풀어보겠습니다. 오잉...? 왠 압축 파일안에 F14g.txt파일을 제외한 모든 파일 확장자 뒤에 보시면 *이라고 있습니다. *이 적혀 있다는건 파일이 암호화 되어있다는 것입니다. 즉 우리는 비밀번호가 걸려있는 파일의 패스워드를 찾아서 풀어야 한다는 의미입니다. 이때 우리는 무차별 대입이라는 brute-force 기법을 활용할것 입니다. Brute-force란? 무차별 대입 공격이라고 불리며 특정한 암호를 풀기 위해 가능한 모든 값을..

저번 시간에는 ZIP Structure(구조)에 대한 내용을 배워보았는데요. 이제는 FAT32, FAT16과 같은 파일 시스템들을 배우기 전에 하드 디스크의 첫번째 데이터 저장 공간(0번 섹터)인 MBR에 대해서 배워보겠습니다. MBR이란?파티션의 스타일을 가르키는 약자입니다. MBR은 물리적인 저장 장치에서 확인 할 수 있는 영역으로써, HDD(하드디스크)에 첫 번째 데이터 저장 공간(0번 섹터)를 뜻하며, 하드디스크의 파티션 정보를 지니고 있습니다. 이 영역은 512byte(바이트) 크기의 영역입니다. 하지만 단일 파티션에서는 MBR이 존재하지 않고, 다중 파티션의 경우 MBR이 존재합니다. * Partition(파티션) 파티션은 단순하게 제한된 저장매체 공간(볼륨)을 보다 효율적으로 사용하기 위한 ..

저번 시간에 디지털 데이터 구성단위에 대해서 배웠습니다. 오늘은 디지털 데이터의 수 체계인 이진법, 십진법, 팔진법, 십육진법, 바이트가 저장되는 순서에 따른 빅엔디안, 리틀엔디안, 고정소수점, 부동소수점에 대해서 배워보겠습니다. 이진법이란? 이진법은 디지털 데이터가 기본적으로 띄고있는 0과 1로 2가지만 표현하는 수 입니다. 일상생활에서 사용하는 수 체계인 십진법과는 다르지만, 디지털 포렌식을 공부하기 위해서는 꼭 알아야 할 수 체계입니다. 이진법은 변환 규칙을 이용하여 다른 수 체계로도 변환이 가능합니다. 32비트의 체계로 생각을 해봅시다. 그럼 총 4byte = 32 bit = 2³² 입니다. 그림을 보고 설명을 해드리겠습니다. 총 32개의 칸이 존재하는게 보이시나요?? 이 칸마다 0 또는 1이 들..

이때까지 포렌식의 정의, 유형, 수사절차를 알아보았습니다. 이제는 디지털 데이터의 구성 단위에 대해서 알아보겠습니다. 디지털 데이터는 유용한 정보를 추출을 해서 법정 증거(재판에서 사용할 수 있는 증거)로 사용하기 위해 데이터가 담겨있는 의미를 정확히 파악해야 합니다. 디지털 데이터는 비트열로 구성되어 있고, 비트열은 정보의 최소 단위인 비트를 나열 해놓은 배열입니다. 비트는 데이터의 표현에 최소 단위로써 0과 1로 표현이 되며, 쉽게 설명해서 방에 있는 전등에 불이 들어오면 1, 불이 꺼지면 0으로 on, off와 같은 느낌으로 구성됩니다. 컴퓨터의 메모리, 저장 장치, 네트워크, 하드 디스크 등 디지털 시스템에 모든 데이터는 이진법(Binary)으로 데이터를 저장하고 처리합니다. 이러한 비트를 8개를..

저번시간에 디지털 포렌식의 정의와 디지털 포렌식의 수사절차에 대해서 알아보았습니다. 간단히 되짚어 보자면 디지털포렌식은 범죄 수사를 위한 디지털 장비의 분석을 통해서 증거를 수집, 보존, 분석, 추출 하는 과학기술이다. 수사절차에는 사전 준비, 증거 수집, 포장 및 이송, 증거 분석, 정밀 검토, 보고서 작성이 있습니다. 디지털 포렌식의 종류는 분석 목적에 따라 크게 사고 대응 포렌식과 입증을 위해 정보 추출 포렌식으로 나뉩니다. 사고 대응 포렌식은 사고 내용을 분석하여 조치를 취하고 추가적인 피해가 없게 막고, 서비스를 재개하는데 목적을 두고, 정보 추출 포렌식은 컴퓨터나 저장매체에 남아 있는 범행 흔적이나 정보를 복구하거나 검색하는 과정을 함으로써 정보를 추출합니다. 사고 대응 포렌식(Incident..

ZIP FILE FORMAT(ZIP 파일 형식) ZIP 파일 형식은 여러 데이터들을 압축, 보관하기 위한 파일형식이다. ZIP 파일은 하나 혹은 여러개의 파일들의 크기를 줄여 압축하고 하나의 파일로 묶어서 저장한다. ZIP 파일 형식에서는 다양한 종류의 압축 알고리즘을 사용합니다. 압축 알고리즘은 크게 두 개로 나뉠수 있는데, Entropy(huffman, Arithmetic)와 사전 코딩(LZ77, LZW)으로 나눌 수 있다. ZIP 파일은 많은 사람들이 huffman(허프만 부호화)알고리즘을 쓰고 있다고 오해를 할 수 있지만 ZIP은 Deflate 알고리즘을 사용합니다. Deflate 알고리즘은 위에 나와있는 특정 알고리즘이 아니라 사전 코딩에 있는 LZ77 알고리즘을 통해 데이터를 압축하고, 중복되..

디지털 포렌식 수행절차 전통적인 아날로그 증거(혈흔, 지문)는 획득, 보관, 분석, 제출하는 과정에서 변조(훼손)될 가능성이 크지 않지만, 디지털 기기에 남아있는 디지털 데이터는 단순히 "0"과 "1"이라는 비트열로 존재하고, 저장매체에 따라 가벼운 충격이나, 전자기파에 의해 쉽게 훼손될 수 있다. 수집한 데이터가 증거가 되기 위해 반드시 지켜야 할 디지털 포렌식의 절차에 대해 살펴보자. 디지털 포렌식의 절차는 6가지 절차가 존재 한다. 사전 준비 단계, 증거 수집, 포장 및 이송, 조사 분석, 정밀 검토, 보고서 작성으로 나뉜다. 각 단계마다 무결성(integrity)을 보장하면서 원하는 데이터를 수집할 수 있는 기술을 필요로 한다. 디지털 포렌식 수사관 자격 및 선발 · 대검찰청 디지털 수사 담당간실..