디지털 포렌식 주요 용어

File Fingerprint

   파일 또는 파일 조각을 식별하는 고유한 숫자 배열로 사건당시 중요한 증거로 활용 될 수 있다.

Live Forensics

• 디스크 이미지 조사 기반의 일반적 디지털 포렌식 과정과는 다르게 시스템이 켜져 있는 상태에서 데이터를 선별 수집 및 조사 진행, 시스템의 전원을 내리면 수집할 수 없는 휘발성 데이터(Volatile Data)와 신속한 조사에 필요한 비휘발성 데이터를 선별해서 수집

• 전원에 연결되어 정상적으로 가동 중인 시스템의 조사 과정 중 활성 시스템을 마주한 경우 이루어지는 절차를 의미한다. (휘발성 데이터란, RAM과 같은 휘발성 메모리에 저장되어, 전원이 꺼지면 사라지는 데이터를 의미하며 그 특성 때문에, 활성 상태의 시스템에서만 획득 가능하다. 수집 시점에 따른 상태의 변화가 발생할 수 있으므로 신속한 수집이 중요)


Slackspace 

   파일의 크기가 데이터 단위 크기의 배수가 되지 않아, 저장매체에서 파일이 저장되고 남은 공간을 말한다. 물리적인 구조와 논리적인 구조의 차이로 발생하는 낭비 공간을 말한다. 즉 물리적으로는 파일에 할당된 공간이지만 논리적으로는 사용할 수 없는 공간이다. 슬렉 공간은 정보를 은닉할 수 있고, 파일의 복구 및 삭제된 파일의 파편조사시 유용하게 사용할 수 있으므로 포렌식 분석 시 고려해야 한다. 논리 파일의 끝 다음부터 파일에 할당된 마지막 클러스터의 끝 사이에 있는 데이터를 슬랙 공간이라고 한다. 슬랙 공간은 대개 이 공간을 이전에 사용했던 파일의 데이터를 갖고 있으며, 이 데이터가 증거가 될 수 있다. 슬랙 영역은 크게 램 슬랙(RAM Slack), 드라이브 슬랙(Drive Slack), 파일시스템 슬랙(File System Slack), 볼륨 슬랙(Volume Slack)으로 나누어진다.

Steganography

  메시지를 숨기기 위해 은닉 채널이나 보이지 않는 잉크를 사용하는 것과 유사한 기술로 이미지 및 오디오 파일과 같은 다양한 디지털 매체를 통해 메시지를 숨기는 것을 말한다.

File Carving

   데이터 영역에 존재하는 파일 자체 정보(시그니처, 논리구조, 파일 형식, 고유 특성)를 이용하는 방법으로 디스크의 비할당 영역을 처음부터 끝까지 스캔하여 삭제된 파일을 찾아 보고 복원하는 방식, Data Recovery가 불가능할 때 사용하는 방법으로 메타데이터가 손상되어서 해당 파일이 어디에 위치 하는지 알 수 없기 때문에 파일 마다 가지고 있는 시그니처와 binwalk으로 분석한 내용을 토대로 직접 파일을 복구한다.

Zoned-bit recording

   outer track has more sectors and transfer speed is much faster in outer track

Background

사용자가 파일의 이름을 변경(Rename)하여 자료를 은닉하는 방법은 포렌식 관점에서 쉽게 발견될 수 있다. 그 이유를 2가지만 들어라. (10점)

1. 파일 형식은 고유한 구조를 가지고 있기 때문에 파일의 확장자를 변경 하여도 쉽게 발견할 수 있다.

2. 파일의 해쉬 변경 사항을 살펴보고 변경된 파일 내용과 파일명을 대조하면 쉽게 발견할 수 있다.

• Technique 1:
• Most file types (e.g., JPEG image) have a structure that can be recognized directly, regardless of the filename a user chooses
• e.g., JPEG files contain 0x4a464946 or 0x45786966 in the first block of the file

• Technique 2:
• Cryptographic hashing provides a mechanism for “fingerprinting” files
• File contents is matched quickly, regardless of name
• Hashes equivalent, file contents equivalent
• Think: fingerprints don’t care about hair color...

256칼라(8비트)를 지원하는 컴퓨터에서 320X240 크기의 이미지에 least significant bit 인코딩 방법(1bit masking)을 이용하여 정보를 은닉하려고 한다. 원본 파일의 크기 대비 어느 정도의 정보가 은닉될 수 있는지 구하라. (예: 원본대비 X %) (10점)

하드디스크에서 사용자가 인식할 수 있는 크기와 실제 물리적인 크기가 다른 경우가 발생할 수 있다. 그 이유를 설명하라. (10점)

   제조사에 의해 표기된 하드디스크의 크기는 실제 물리적인 헤드, 실린더, 섹터의 정보에 의해 제공되며 사용자는 사용 하고자 하는 운영체제의 파티션(윈도우 FAT/NTFS, 리눅스 등) 설정 후, 포멧하여 사용하게 된다. 이때 각 운영체제의 파티션 블록 크기에 의해 실제 물리적인 크기와 운영체제 파티션에 의해 크기 차이가 발생하게 된다.

Hard Disk Data Acquisition

Hardware Write Blocker와 Software Write Blocker를 비교하고, Software write blocker가 Hardware Write Blocker 보다 유용하지 않은 이유를 설명하라.(10점)

Hardware Write Blockers

• 하드웨어 방식은 이미징을 위해 특수 제작된 하드웨어 장비를 사용해 이미징하는 것이다. 하드웨어 방식은 모든 작업이 독립된 하드웨어 장비를 이용해 이루어진다. 하드웨어 장비를 구동하고 이미징하는 작업은 소프트웨어에 의해 실행되지만, 호스트 시스템을 사용하지 않는다는 점에서 소프트웨어 방식과 구별된다.

• A hardware write protector is a device that sits in the connection between a computer and a storage device (ATA, SCSI, IEEE 1394, USB, or serial ATA).

• It monitors the commands that are being issued and prevents the computer from writing data to the storage device.

• Some advanced tools such as NoWrite device from McKey Technologies can make an exception and allows the SET_MAX command to be executed to remove the HPA and DCO

Software Write Blockers

• 소프트웨어 방식은 명칭 그대로 소프트웨어를 이용해 원본 저장매체의 모든 물리적인 섹터를 사본으로 이미징하는 것이다. 주의할 점은 원본 저장매체의 무결성이 훼손되지 않아야 한다는 점이다. 이를 위해 원본 저장매체를 읽기 전용으로 마운트하거나 쓰기 방지 장치(Write Blocker)를 사용한다. 쓰기 방지 장치도 소프트웨어 방식과 하드웨어 방식이 존재하지만 성능이나 안전성의 이유로 하드웨어 방식을 권장한다.

• Work by modifying the interrupt table, which is used to locate the code for a given BIOS service (Int 13h).

• Software write blockers are not as efficient as hardware blockers because software can still bypass the BIOS and write data directly to the controller.

dd 명령어를 통하여 획득(acquisition)한 이미지는 chmod 444 filename 명령어 및 md5 명령어를 사용하여 향후 분석에 대비한다. 이명령어들의 의미와 사용하는 이유를 설명하라.

• chmod 444 filename: 리눅스의 파일 속성변경 명령어로 소유자, 그룹, 타인의 권한을 읽기 권한으로 변경하여 디지털 포렌식 진행 시 도구 및 타인에 의해 파일이 변경되는 것을 방지하기 위함이다.

• MD5: 디지털 포렌식 진행 중 해당 파일의 해시값 무결성을 검증하여 변경되지 않음을 입증하기 위해 사용 된다.

FAT 파일 시스템 기초

FAT-X (X는 12, 16, 32) 파일 시스템에서 X가 의미하는 것을 설명하고, 클러스터 (블럭) 크기가 4Kbytes 일 때 최대 access 가능한 디스크의 크기를 각각 구하라 (10점)

MS-DOS 파일 시스템에서 파일의 위치정보를 기록한 테이블을 지칭 FAT 뒤의 숫자는 파일시스템에서 관리하는 클러스터의 개수를 의미

FAT : File Allocation Table(파일 배분 표)

• Three different[ 다른] versions(FAT12/FAT16/FAT32)

• Major difference is the size of the entries in the FAT structure(FAT 구조체에 있는 항목의 주요 차이점은 크기)

Primary file system for MS DOS and Windows9x 

• Possible secondary file system for flash cards and USB(플래시 카드와 USB에 가능한 보조 파일 시스템)

FAT can be considered simple

• Small number of data structures(데이터 구조의 작은 번호)

FAT 파일시스템에서  디렉토리(Directory), 클러스터(Cluster), FAT 테이블 간의 연관 관계를 설명하라. (10점)

Directory entry

• Each file and directory is allocated in a directory entry

• A directory entry contains the file name, size, starting address of the file content and other metadata

• 파일시스템에서 파일의 이름, 확장자, 위치, 크기, 시간정보 등을 표현하기 위한 구조체다. 하나의 파일 및 디렉토리는 각각의 메타정보를 표현하기 위해 하나의 디렉터리 엔트리를 가진다. 

Cluster

• File and directory content is stored in a cluster(파일과 디렉토리는 클러스터에 저장된다)

FAT Structure

• If a file or directory has allocated more than one cluster, the other clusters are found using the FAT

• Used to identify the next cluster in a file and the allocation status of clusters

• Used in both the content and metadata categories

• 파일 또는 디렉토리가 하나 이상의 클러스터를 할당 된 경우, FAT를 이용해 다른 클러스터는 다른 사용할 수 있는 클러스터를 확인한다.

• 파일의 다음 클러스터 및 클러스터의 할당 상태를 식별하는데 사용

• 컨텐츠 및 메타 데이터 카테고리에 사용