포렌식 썸네일형 리스트형 휘발성 정보 수집 (2) 휘발성 정보 수집에는 여러가지가 있는데 이에 대해 간단히 알아 볼 것이다. [시스템 시간] 시스템 시간은 포렌식에서 중요한 의미를 갖는다. 시스템 시간은 윈도우 cmd에서 기본적으로 지원하는 data와 time 명령어로 수집 가능하다. 윈도우 하단에 있는 트레이바의 시간패널을 조작하면 레지스트리에 기록이 남지만, cmd 명령어로 수정할 경우 레지스트리에 기록이 남지 않는다. [그림 1 - 시스템 시간 수집 화면] [네트워크 연결 정보] 휘발성중에 휘발성이라 할 수 있는 정보이다. 만약 개별적으로 운영하는 방화벽이나 방화벽 어플리케이션이 있다면 해당 정보보다 더 우선적으로 방화벽 로그의 분석이 수행 되어야 한다. 해당 정보는 순간 정보이지만, 방화벽의 정보는 장기간에 걸친 정보이기 때문이다. 네트워크의 연.. 더보기 휘발성 정보 수집 (1) 휘발성 정보 수집 절차는 정확히 표준으로 정해진 것은 없다. 조사관마다 판단에 의해 절차가 정해져 수집이 이루어지는데 현재로서는 아래 두가지 문서가 많은 조사관들에게 길잡이 역할을 하고 있다(휘발성정보 수집의 순서는 상황, 조사관 판단에 따라 임의적으로 바뀔 수 있다) [휘발성정보 수집 가이드라인] 1. Guidelines for Evidence Colletion and Archving(RFC 3227) 2. Guide to integrating Forensic Techniques into Incident Response(NIST Special Publication 800-86) 두 문서에서는 휘발성정보 수집 순서가 적혀있는데 살펴보면 다음과 같다. RFC 3227 NIST Special Publicti.. 더보기 Live Response ?(2) [Live Response 수행 여부] Live Response는 상황에 따라 할수도 있고 하지 않을 수도 있다. 그렇기에 해야 할 상황을 정리하기는 힘들고, 그 반대로 하지 않아야 할 상황을 알아두어야 한다. 1. 해커나 악성코드등에 의해 시스템에 존재하는 어떠한 파일이 삭제되고 있을 때 - 이럴때는 Live Response를 수행하기 보다는 시스템의 전원 플러그를 제거하는 것이 좋다. 삭제되는 파일이 로그파일일수도 있지만, 조직에 영향을 미치는 중요한 파일 일 수도 있기 때문이다. 2. 조사를 수행할 때의 도구가 검증되지 않은 도구일 때 - 주로 공개용 도구에 해당하는데, 검증되지 않은 도구를 사용하면 시스템에 어떤 영향을 미칠지 모르기 때문이다. 전원 플러그를 제거하는 것이 좋다고 위에 설명이 되어.. 더보기 Live Response ?(1) [정의] 1. 살아있는(구동하고 있는) 시스템에서 휘발성 정보를 수집하는 행위를 말하며, 컴퓨터 포렌식 조사 과정중에 하나 이다. 2. 해당 행위의 범위는 구동되고 있는 시스템에서 수집 가능한 모든 정보의 수집과 분석, 그리고 이를 바탕으로 한 사고의 처리까지 이다. 예전에는 침해사고 시스템의 전원 플러그를 뽑고 하드 드라이브의 이미지를 복사하는 것이 가장 기본적이고 상식적인 절차였다. 하지만, 근래에 들어서는 휘발성 정보의 중요성이 인식되어 휘발성 정보를 수집하고 분석하는 쪽으로 방법론이 빠르게 이동하고 있다. [Live Response의 중요성] 1. 휘발성 저장장치에서만 찾을 수 있는 정보가 있기 때문에 중요하다. - 현재 동작중인 프로세스 - 열려있는 파일 목록 - 네트워크 연결 정보 - 클립보드.. 더보기 디지털 포렌식 관련 법률 디지털 포렌식 관련 법률 1. 디지털 증거 수집 및 분석 규정(대검찰청 예규 438호 2008. 12. 17) - 내용이 많은 관계로 파일을 첨부하였으니 참고 바랍니다. 2. 디지털포렌식수사관 인증심의위원회 운영규정(대검예규 제469호) - 내용이 많은 관계로 파일을 첨후바였으니 참고 바랍니다. 3. 형사소송법 - 내용이 많은 관계로 파일을 첨부하였으니 참고 바랍니다. 4. 통신비밀보호법 - 제9조의3(압수·수색·검증의 집행에 관한 통지) ① 검사는 송·수신이 완료된 전기통신에 대하여 압수·수색·검증을 집행한 경우 그 사건에 관하여 공소를 제기하거나 공소의 제기 또는 입건을 하지 아니하는 처분(기소중지결정을 제외한다)을 한 때에는 그 처분을 한 날부터 30일 이내에 수사대상이 된 가입자에게 압수·수색·검.. 더보기 이전 1 ··· 24 25 26 27 28 다음
