나라카일_ 0

포렌식 관련된 글 어제 급하게 썼다가 https://m.fmkorea.com/2889140339 반박글 올라오길래 오랫만에 포렌식책 피고 다시 글씁니다.

급하시면 세줄요약부터 보세요.

먼저 디지털 포렌식의 정의를 알아볼께요.

디지털 포렌식 : 각종 디지털 기기나 인터넷에 있는 데이터를 수집ㆍ분석하여 범죄의 증거를 확보하는 수사 기법.

이라고 하네요

결국 데이터를 복구하는거도 포렌식에 한 종류라고 보면 되겠죠?

포렌식에 절차는 다음과 같습니다.

증거 수집

증거 분석

증거 제출

여기서 가장 중요한건 증거 수집입니다.

증거 수집에서 가장 중요한건 무결성입니다.

무결성이란 데이터가 무결(변경이없다)하다는것, 즉 조작이 없다는 것을 증명해야한다는걸 말합니다.

그렇다면 사건이 발생한 직후에도 컴퓨터를 꾸준히 사용했다면 무결성을 위배한다고 볼 수 있으며. 증거의 가치가 떨어집니다.

왜 증거의 가치가 떨어지는지 아래에서 자세히 설명드립니다.

기술적인 설명드립니다.

정말 어제 이해하기 쉽도록 간단하게 글을쓰니 반박글이 올라오길래 뎁스있게 설명드립니다.

포렌식 종류는 크게 3가지라고 보면됩니다.

1. 메모리 복구(RAM)

 - 컴퓨터 메모리는 휘발성데이터입니다.

  전원을 끄면 다 사라지기떄문에 수사관은 사고 발생직후 가장먼저 메모리 덤프를 뜨게됩니다. 즉 메모리복구는 강만식 BJ는 애당초 해당이 되지 않습니다.

2. 네트워크 포렌식 - 침해사고가 발생했을 시 패킷 캡쳐 및 트래픽 역추적을 통한 기법을 말합니다.  이경우도 해당되지 않습니다.

3. 저장매체복구(HDD, SSD) 

 - 컴퓨터 내 저장매체의 데이터를 복구하는 방법.  즉 이 저장매체복구의 경우가 이번 사건의 포렌식 방법이라고 할 수 있겠네요.

언급하신 하드메모리? 스왑파일? 정의부터 말씀드립니다.

하드메모리는 뭔말인진 모르겠지만, 하드디스크+플레시 메모리  즉 SSD를 말하는거라고 생각하겠습니다.

스왑파일? 이건 요즘 사용하지도않습니다.

메모리(RAM) 용량이 부족할 경우 하드디스크의 일부를 메모리로 사용할때 스왑파일을 이용합니다 도대체 이 워딩을 왜 사용하시는지는 모르겠네요.

강만식BJ의 저장매체가 무엇인지는 모르겠지만, 인터넷방송인이라면 SSD를 사용할 확률이 9할이상이니 SSD라고 생각하겠습니다.

먼저 말씀드리면 SSD는 복구가 불가능하지 않지만,매우 까다롭습니다.

이유는 HDD와 SSD의 동작방식에 차이가 있기때문입니다.

HDD의 경우 데이터를 테이프형식으로 집어넣기때문에 데이터를 삭제한다고해서 실제로 데이터를 날리는게 아니라 그 공간을 그대로 두고 옆칸에서 다시 데이터를 저장합니다.  추후 한바퀴를 돌고나서 그 공간에 데이터를 다시 덮어씌우는 경우이며,  시간이 지나도 어느정도 복구는 가능합니다.

하지만 SSD의 경우 메모리 방식이기때문에 데이터를 삭제할경우 해당영역을 초기화를 해야합니다. 하지만 계속 초기화할경우 SSD 성능 저하가 발생하여 TRIM이라는 기술로 딜레이를 줘서 한번에 초기화합니다.

즉 TRIM이 진행이 되었다면 데이터영역이 복구가 불가능합니다.

물론 TRIM이 진행되었다 해도 복구가 가능할수도있지만, 그게 증거로 쓰인다면 오히려 문제가 있다고 봅니다. 완전하지 않기때문이죠.

결국 저는 일관성있는 말을 하고있습니다.
어떤폴더를 열었는지, 어떤 USB 파일을 열었는지 행위들을 아무 조건없이 뚝딱 다나온다면 참 쉽죠? 수사관들?

글이 너무 길어졌습니다.

결론적으로 말씀드리면 어떠한 사건이 터지고나서 손한번 깜빡거리지 않은 상태에서 PC도 끄지않고 아무행위를 하지않은채로 수사관이 메모리덤프부터 뜨고 시작했다면 온전한 데이터로 증거의 가치가 있으나, 그건 아니기때문에 증거로써 가치가 없다.  이게 결론이겠네요.

마지막으로 메모리를 갈아끼운다는말에서 조금 웃었네요.  메모리를 지우개로 지워야 데이터가 날라가나요?  메모리는 휘발성데이터라 컴퓨터만 꺼도 데이터는 바로 날라갑니다.

반박글 환영합니다.

현업에서 실제 포렌식 종사자분들이 제 글을 보면 귀엽게 보일수도 있겠네요.

방플했던말던 전 상관없습니다.  그저 증거가치 유무에 대해서만 말씀드리는것일뿐

세줄요약

1. 시간이 흘러 이미 증거가치 자체가 없다.

2. 기술적으로도 완벽한 포렌식은 존재하지않는다.

3. 방플하던말던 나는 실버다

※IP로그 비교관련 내용은 웃고지나갑니다. 비로그인 사용자가 접속한 IP로그의 백업비용 얼만지 알고 그런소리를 하시는지 ㅋㅋ

출처 ) https://www.fmkorea.com/index.php?mid=lol&document_srl=2889441004&search_keyword=%EA%B0%95%EB%A7%8C%EC%8B%9D&search_target=title&page=1 

도움이 될만한 글 같아서 퍼옴