Abstract


 해당 글은 사용자의 PC에서 사용할 수 있는 다양한 디지털 포렌식 증거에 대하여 설명하며, 이러한 증거를 찾는 방법에 대하여 논의할 것이다. 또한 이러한 방법 뿐만 아니라 기법이나 어떤 이슈에 초점을 맞춰야 하는지에 대하여 알아볼 것이다.


Introdution


최근의 버클리 과학자 연구에 의하면 모든 정보의 93% 이상이 디지털 도메인을 남기지 않는다. 이는 정보의 과반수 이상이 디지털의 형태로 생성되며, 수정되고, 소비된다는 것을 의미한다. 거의 모든 데이터베이스와 스프레드 시트는 종이로 작성되지 않으며, 대부분의 디지털 스냅샷은 인쇄되지 않는다. 또한 이러한 디지털의 형태로 채팅이나 Social networking이 존재하며 이는 가상 영역의 외부라 상상할 수도 없다.

 대부분의 이러한 활동은 명확한 흔적들을 남기며 이는 단서를 수집하는 것을 허용하며, 범죄를 해결할 수 있도록 도와주며 예방하게끔 하기도 한다. 이번 기사에서는 일반적인 사용자의 컴퓨터에서 생성될 수 있는 여러 타입의 디지털 증거들에 대하여 언급할 것이며, 조사에 사용될 수 있는 증거들을 PC에서 추출하는 방법과 기법에 대하여 설명할 것이다.


Digital Forensic


디지털 증거는 결코 과소 평가할 수가 없다. 디스크에 저장된 디지털 파일들의 형태로 저장되어 사용할 수 있는 증거들은 많으며, 이러한 정보에 접근하는 것은 오늘날에 필수적으로 여겨지고 있다.

Instant Messenger

 인스턴트 매니저는 커뮤니케이션에서 중요한 요소가 되었다. 많은 사람들이 그들의 나이, 국적, 성별에 상관 없이 컴퓨터로 보내는 시간들이 많아졌으며, 이는 채팅 기록으로부터 점점 더 많은 단서들을 수집할 수 있음을 의미한다. 

Social Networking

 소셜 네트워크는 몇 년 사이에 빠르게 대중적인 요소가 되었고, 점점더 커뮤니케이션은 기존의 채팅 방이나 개인메신저로부터 이주되고 있다. 이러한 소셜 네트워크로부터 추출된 커뮤니케이션은 확실히 포렌식 조사에 있어서 가치가 있다.

Web Browsers

 웹 브라우징은 보편화된 활동이기에 이러한 웹 브라우저의 히스토리나 북마크, 웹 페이지의 캐시들을 분석하는 것은 중요한 작업이 되었다. 웹 브라우저의 캐시에는 불법적인 내용을 담은 이미지나 악성코드로 의심되는 스크립트 등을 포함하고 있을 수가 있다. 구글을 검색하는 것과 같은 인터넷 활동은 분석될 수가 있으며, 종종 명백하지 않은 범죄의 해결을 도와준다.

Email

 메신저와 소셜 네트워크가 증가함에도 불구하고 이메일은 아직도 중요한 정보들을 가지고 있으며 이는 기업에 있어서 더욱이 그렇다는 것을 알 수가 있다. 많은 온라인이나 오프라인 이메일 클라이언트는 중요한 정보를 제대로 접근하지 않고 간과하기가 쉽다. 

P2P and File Exchange Software

 토렌트와 같은 P2P와 파일 교환 클라이언트는 불법적인 이미지나 비디오, 저작권이나 지적 재작권이 침해된 자료들을 포함한 단서들을 포함하고 있다. 다운로드나 업로드, 공유된 파일에 대한 정보는 실질적으로 증거 수집에 도움이 된다. 

Multimedia Content

 아직도 이미지나 비디오 파일들은 그들의 컨테츠를 위해 분석된다. 그리고 몇개의 툴들은 이러한 불법동영상이나 얼굴 비교, 스캔된 그림파일로 저장된 텍스트 문서들의 탐지를 자동적으로 도와준다.


Type of Digital Evidence


이번 기사에서는 PC, 메모리, 디스크에서 사용 가능한 증거에 대하여 엄밀히 말할 것이다. 디지털 증거의 유형은 다음의 리스트를 모두 포함한다. 리스트는 아래와 같다.

Address books and Contact list

Audio file and voice recordings 

 Backup to various programs, including mobile

Bookmarks and favorites

Browser history 

Calendars 

 Compressed archive(zip,rar...)

Configuration and .ini file 

Cookies 

Database 

Documents 

Email messages, attachments and email database

Events 

Hidden and system files 

Log files 

Organizer items 

Page files, hibernation file and printer spooler files

Pictures, images, digital photos

Videos 

Virtual machines 

System files, Temporary files


Retrieving Log and History files


로그 파일과 히스토리 파일은 가치있는 본질적인 증거를 포함하고 있다. 채팅 커뮤니케이션은 종종 타임스탬프와 상대방의 닉네임, 누가 응답자였는지에 대하여 포함하고 있다. 이러한 파일의 정확한 위치와 이름을 결정하는 것은 추가적인 분석을 수행하는데 필요한 필수적인 첫 단계이다. 

 최근 버전의 윈도우는 user-created, application-generated 데이터를 AppData Program files, 그리고 Documents와 Settings Folders에 포함하고 있다. 윈도우 비스타와 윈도우 7에서 AppData폴더는 고정된 위치를 가지고 있지 않다. 추가적으로 이러한 시스템은 관리 권한보다 낮은 권한으로 실행된 응용 프로그램을 위한 가상화된 저장공간을 유지하고 잇다. 이러한 공간은 조사에 있어서 가끔 간과되며 심지어 well-know Documents와 Settings 윈도우의 기본 지역에 따라 다른 이름으로 저장되는 것이 무시되기도 한다. 예로 이는 “Мои документы” or “Dokumente und Einstellungen” 라는 이름으로 설정되어 있을 수도 있다. 유저들은 이러한 이름의 변경으로 분석을 복잡하게 할 수가 있다.


 조사자는 분석에 있어서 흥미로운 윈도우 레지스트리 파일이나, 응용 프로그램 구성 파일과 같은 파일을 찾은 후엔 그것들로부터 데이터를 추출하기를 원한다. 그렇기에 소스파일들 각각의 정확한 형식에 대하여 알아야 한다. 많은 종류의 format이 존재하며 이는 특정 형식에 대하여 기술적인 지식을 요구한다. 운이 좋게도 현대의 응용프로그램들은 대부분 밝혀진 format으로 대부분 이루어졌기에 분석을 하기에 쉽다. 예로 SQLite DB는 Skyped에서 사용이 되며, 이는 SQLite 분석 프로그램에 의하여 자동적으로 분석이 가능하다.

Common Obstacles

 컴퓨터 유저들은 조사를 어렵게 하거나 느리게 하는 방식을 쉽게 갖는다. 아래에는 분석의 속도를 늦추며 범죄자들에 의하여 사용되는 몇개의 방식에 대하여 정리한 것이다. 한번 확인해 보자.

- History 파일의 기본 위치를 변경하는 방식

- 히스토리 파일의 이름이나 해당 폴더의 이름을 변경하거나 위치를 옮기는 방식

- 시스템의 권한이나 속성을 이용하여 히스토리 파일을 감추거나 보호하는 방식

- 히스토리 파일을 제거하는 방식

- 하드 디스크를 포맷하거나 파괴하는 방식

- 볼륨 전체를 암호화 하는 방식

- 히스토리를 유지하지 않거나 모든 로깅을 사용하지 않는 방식

 컴퓨터 사용자들의 대부분은 IT 보안의 전문가가 아니며 그렇기에 이러한 대부분의 장애물은 약간의 노력만으로 극복할 수 있는 불만 이상의 것은 아니다. 심지어 일반 사용자에 의해 전체 드라이브의 암호화가 구성되었을 때도 처리가 될 수 있다. 아래의 챕터에서는 이러한 기법에 대하여 자세히 논의할 것이며 각각의 장애물을 극복할 수 있는 사용가능한 방안에 대하여 추천할 것이다.


Obscuring and Information and Why it works


하드 디스크에서 정보를 숨기는 가장 명확한 방식은 모호한 이름으로 저장을 하거나 잘 사용하지 않는 위치에 해당 정보를 저장하는 방식이다. 이러한 트릭은 명확하고 합리적인 보안정책을 아직까진 통과할 수 없기에 약간의 보호 기능만을 제공한다. 하지만 왜 범죄자들에 의하여 이러한 방식이 여전히 사용되며 작동하는가?

 이에 대한 답은 간단하다. 조사자들은 모바일 포렌식이나, 컴퓨터나 노트북을 조사할 때 시간제약을 갖기 때문이다. 그들은 종종 가능한 모든 증거를 추출하기 위하여 20분에서 부터 몇시간까지 소요되기 떄문이다. 이러한 상황이 복잡하기 때문에 조사자들은 엄격한 규칙을 준수하고 있다. 이러한 규칙 중 하나를 해하므로 연구자들이 추출한 모든 증거들이 무효가 될 수 있기 때문이다. 

Retrieving Obscured Files : When File Location is Changed

 조사자들은 사용자의 모든 정보들이 기본 폴더에 위치해 있다고 기대해서는 안되며, 무엇이든지 기본 위치를 벗어나 존재할 수가 있다. 암호화 된지 않은 로그파일과 히스토리 파일을 찾기 위해 하드 디스크 전체를 검색하는 작업은 필요하다. 이러한 방식은 몇개의 오탐이 있으며 그렇기에 추가적으로 검사가 종종 필요하다. 

 현실적으로 어떠한 파일의 하나를 위치시키는 것은 명백한 작업이며 메신저나 Email 클라이언트 같은 응용프로그램은 자신들의 작업 파일에 대한 권한을 갖고 있어야 하며, 그들은 윈도우 레지스트리나 자신의 구성 파일 등 어딘가에 해당 내용들을 저장한다. 확실한 것은 분석될 각 응용 프로그램(P2P, Email, 메신저, 브라우저)에 대하여 많은 것을 알아야 하며 시간이 제한된 바쁜 환경 조건에서는 자동화된 방식이 유일한 해결방안이다. 

Hidden and Inaccessible Files and Folders

 컴퓨터 유저들은 종종 파일의 속성이나 권한을 이용하여 정보를 보호하며 이를 통해 무단 액세스를 방지할 수가 있다. 숨겨진 시스템파일이나 폴더는 일반적인 위치에 있는데 이들은 종종 포렌식 도구에 따라 강조되어 표시되기도 한다. 대부분의 포렌식 도구들은 NTFS 액세스 제어 권한 같은 파일 시스템에 의해 설정된 보안 속성 및 권한 제어 관리를 우회할 수가 있다. 특별히 주의해야 할 것은 접근할 수 없는 파일이나 폴더이다. 그렇지 않으면 액세스 제한을 갖는 폴더에 있는 증거들을 놓칠 수가 있기 때문이다.


Destroyed Evidence


오늘날에는 사용자의 행동으로 인한 손상이나 시간에 대한 손상 뿐만 아니라 저장 장치의 형태로서의 손상과 같이  디지털 증거를 손상시키려는 시도는 매우 일반적인 것이다. 이번 챕터에서는 손상된 증거를 복구하는 일반적인 사례와 방법에 대하여 논의할 것이다.

Deleted Files

 중요한 증거들은 종종 Recycle.biin에서 끝을 보게 되며 이는 Windows PC에 있어서 더욱이 그렇다 할 수 있다. 말 그대로, 삭제된 파일은 종종 휴지통이나 해당 파일들이 지워지기 전에 위치하였던 임시폴더 같은 곳의 내용을 분석하여 성공적으로 찾을 수가 있다. 

 만약 지워진 파일들이 더이상 휴지통에서 보이지 않는다면 상용 데이터 복구 도구를 이용해서 그 파일들을 복구할 수 있는 좋은 기회를 만들 수가 있다. 이러한 파일 복구의 원리는 파일이 지워져도 해당 파일의 내용을 삭제하지 않는 윈도우즈의 원리에 있다. 데이터를 지우지 않는 대신에 파일 시스템은 해당 파일의 위치에 삭제되었다는 플래그를 남기는 것이다. 그리고 이는 0으로 채워지거나 다른 데이터로 채워지기 전까지는 이전 데이터가 그대로 채워져 있다(SSD의 경우에는 좀 다르다.). 

 파일의 특성이나 시그니처를 하드 드라이브에서 찾거나 파일 시스템을 분석하는 것은 유저에 의해 지워진 파일 뿐만 아니라 많은 응용프로그램에 의해 생성된 임시파일이나 문서 작성 중에 임시저장된 파일과 같은 파일까지 복구가 가능하게 한다. 이를 다시 말해 'Carving'이라 한다.

Formatted Hard Drives

 사용자에 의해 하드 드라이브가 포맷된 후의 정보들은 아마 상용 데이터 복구 툴의 데이터 카빙을 통해 복구가 가능하다. 하지만 여기서 '아마'라는 단어에서와 같이 포맷된 하드 드라이브는 불확실하며 매개 변수의 다양한 설정에 따라 달라진다.

- Full Format

 윈도우에서는 Full과 Quick이라는 두가지 형태의 사용가능한 포멧이 존재한다. 빠른 포멧은 단순히 파티션을 포멧하는 새로운 (빈) 파일 시스템을 생성하여 디스크를 초기화하는 반면에 Full 포멧은 디스크의 배드 섹션까지 확인을 한다. 

 이름에서와 같이 전체 포멧은 항상 파괴적이며 윈도우 비스타 이전의 버전에서는 0으로 채우지 않지만 윈도우 7부터는 디스크의 내용을 지우고 0으로 기록한다. 그리고 신뢰성을 보장하기 위하여 섹터를 다시 읽는다. // SSD의 경우에는 따로 설명하겠다.

- Quick Format

 SSD를 제외하고 빠른 포멧은 퍄괴적이지 않다. 빠른 포멧으로 디스크에서 클리어 된 정보는 카빙을 지원하는 도구를 이용하여 복구가 가능하다. 

The Issue of SSD Drivers

 위의 내용들은 대부분 HDD나 USB와 같은 부분에 한정된다. SSD의 경우에는 다른 이슈들을 보아야 한다. SSD는 새로운 저장 기술을 대표하며 기존의 HDD에 비하여 빠르게 동작하며 쉽게 정보를 파괴하고 복구하기 어렵게 전혀 다른 방식으로 정보를 저장한다.

 이러한 방식의 핵심은 바로 TRIM 명령이다. 운영체제에 의해 삭제되었다고 표시가 되면 TRIM 명령은 해당 공간을 0으로 채운다. 쓰기 방지가 된 장비의 경우 TRIM 명령을 예방하는 것을 도울 수가 없다. 어떠한 실험에 따르면 SSD의 TRIM 명령은 3분 안에 모든 데이터를 완전히 지울 수 있다고 한다. 

 기존의 포렌식 방법들은 SSD 드라이버에서 삭제된 정보나 빠른 포멧이나 전체 포멧에 의한 어떠한 것들이든 복구하는데 실패하였다. 하지만 여기에는 예외가 존재한다. 위에서는 파일이 삭제되면 TRIM 명령에 의해 데이터를 복구할 수 없다고 말하였다. 이는 다시 말해, TRIM 명령이 일어나기 전에는 복구가 가능하다는 것이다. 또한 많은 구성 요소 중 적어도 하나는 TRIM을 지원하지 않는 경우에 발생할 수 있다. 이 구성 요소의 예로는 윈도우 비스타와 7은 TRIM을 지원하지만 XP의 경우에는 TRIM을 지원하지 않으며 파일 시스템의 구성 또한 마찬가지다. 파일 시스템의 경우 NTFS에서는 TRIM을 지원하지만 리눅스와 같은 FAT에서는 해당 기능을 지원하지 않는다. 

Data Carving

 카빙은 하드 드라이브 전체의 내용을 연속적으로 검사하며 정확한 비트를 찾는다고 할 수 있다. 카빙은 이를 통하지 않으면 사용될 수 없는 많은 아티팩트들을 찾는데 도움을 준다. 카빙은 파일복구의 개념과는 다르며 조사자들은 이를 통하여 디스크에서 부분적으로 덮어 씌워진 파일이나 조각나거나 흩어진 파일에 의존적이지 않아도 된다. 대신에 특정한 시그니처를 찾거나 몇가지 흥미로운 데이터가 디스크 상의 특정 지점에 저장 될 수 있는 단서를 제공할 수 있는 패턴을 찾는다. 

 카빙은 손상된 데이터를 찾는데 없어서는 안되며, 전통적인 HDD의 경우에는 데이터가 지워진 후 오랜 기간이 지나도 해당 데이터를 보존하기에 더욱 필요하다. 때때로 디스크를 포멧해도 해당 데이터가 원래의 형태를 유지하고 있는 경우도 존재하고 있다.

Carving Text Data

 일부 바이너리와 대부분의 텍스트 전용 형식은 여전히 Carving될 수 있으며 텍스트 정보는 아마 복구하기에 쉬울 것이다. 문자 데이터를 포함한 블럭은 문자나 숫자, 심볼과 같은 명확한 값으로 채워져 있다. 텍스트 데이터를 카빙하려할 때 조사자는 다양한 언어와 계정에 따른 인코딩을 고려해야 한다. 이는 한국, 중국, 터키, 미국, 일본에 따라 모두 상이하기 떄문이다.

 각각의 다른 인코딩은 그들이 지원하는 언어에 대하여 고려해야하는데 디스크에서 언어나 인코딩에 따른 정보를 읽을 때 일반적으로 텍스트 정보를 발견할 수가 있다. 이와 대조적으로 바이너리 데이터는 매우 랜덤한 형태로 나타난다. 따라서 텍스트 정보는 주어진 언어나 인코딩 조합에 속하지 않는 값을 확인하여 텍스트 블록의 시작과 끝을 확인하기에 비교적 용이하다.

Limitations of Data Carving

 카빙은 시그니처나 특유의 패턴에 의존하기에 모든 데이터가 카빙되는 것은 아니다. 바로 데이터 영역이 손상되었을 경우에는 카빙을 통하여 해당 시그니처나 데이터를 찾으려해도 실패하게 된다. 이뿐만 아니라 데이터가 흩어져 있는 경우에도 카빙을 통하여 복구하기에 제한된다.

When Data Carving is Not Available

 컴퓨터 유저가 데이터 카빙을 불가능하게 하는 몇가지 방법이 존재한다. 많은 수의 응용프로그램들은 하드 드라이브에 있는 정보를 안전하게 제거할 수 있으며 디스크에서 이전에 채워져 있는 민감한 정보나 데이터를 랜덤한 데이터로 채우는 특별한 알고리즘이 개발되었다. 이러한 파라노이드 상태에서 민감한 정보들은 추출이 불가능할 만큼 몇번 덮어씌우기를 진행한다. 만약 어떠한 응용 프로그램이 이러한 방법을 사용하면 카빙으론느 절대 복구가 불가능할 것이다. 하지만 디스크의 통계적 분석을 통하여 그러한 도구를 디스크에 사용했는지를 검출할 수가 있다. 덮어쓴 위치에 포함된 화이트 노이즈는 일반적으로 하드 드라이브에 저장되어 있지 않다. 그리고 이러한 사실이 정확한지 감지할 수 있는 도구들이 존재한다. 이러한 증거는 거의 없는 것으로 간주될 수 있지만, 실제로는 비정상적인 상황 경고를 줄 수 있다.

 또 카빙을 사용하지 못하게 하는 간단한 방법으로는 증거를 하드 드라이브에 저장하지 않는 것이다. 이 방법은 일상생활에서는 불편할 지라도 이는 브라우징이나 커뮤니케이션의 기록을 숨기는 일반적인 방법이다. 이러한 경우 라이브 RAM 분석이 최근의 활동을 복구 시킬 수 있는 유일한 방법이다.  


Encrypted Volumes


디스크를 암호화 하는 도구들은 강력하며 신뢰할 수 있고 완벽한 암호화 작업을 이행한다. 보통 조사자들은 보호를 위해 암호화된 볼륨의 평문 패스워드 문자를 알고자 한다. 하지만 많은 유저들이 점점 더 길고 복잡한 암호를 사용하고자 하기에 브루트 포스를 통한 방법을 사용하는 것이 대부분이다. 

 하지만 이러한 길고 복잡한 암호를 사용하는 것은 암호화 컨테이너에 침입할 수 있는 방법을 제시한다는 것은 사실이다. 그것은 쉬운 일을 하고자 하는 인간의 본성이며 사용자가 어떠한 것에 접근을 할 때마다 길고 복잡한 암호를 입력해야하는 것은 결코 쉽지 않다. 대부분의 유저들은 PC를 로드한 후에 한번만 패스워드를 입력한다. 암호화된 컨테이너는 전체 세션동안 'open'과 손쉽게 연결할 수 있게 해준다. 아주 명백히 이러한 암호화된 볼륨은 Cain&Abel이나 hashcat과 같은 도구들을 이용하게 크랙할 수가 있다.


Disabled Local and Remote Logging


 대부분의 응용프로그램들이 로컬 히스토리 파일을 생성하는 반면에, 몇 몇 응용프로그램은 클라우드에 해당 로그 파일을 저장하기 위하여 사용한다. 모든 로깅을 비활성화 하는 것은 범죄에 있어서 포렌식 조사를 통해 얻을 수 있는 디지털 증거의 수집을 방지하는데 효과적인 방법이다. 로깅이 비활성화 될 때, 로그 파일과 히스토리 파일은 클라우드 저장소에 디스크에 기록되지 않는다. 하지만 몇개의 로그들은 컴퓨터 메모리에 여전히 남아 있는다. 

 그러므로 Live RAM 분석은 몇개 혹은 최근의 모든 증거를 밝힐 수가 있다. 만약 컴퓨터가 켜져 있다면, 그 해당 램의 메모리 캡처 파일은 Live RAM 분석에 사용이 될 수 있을 것이며 컴퓨터가 꺼져있을 때 조사자들은 페이지 파일이나 하이버네이션 파일을 통하여 분석을 진행해야 한다.


Live RAM Analysis


 추가적인 디지털 증거들은 RAM을 분석하므로 추출될 수가 있으며 휘발성이라는 특성에 의해 이러한 RAM 분석을 위해서는 PC의 전원이 켜져있어야만 한다. 그렇기에 조사자들은 의심되는 분석 대상 PC를 종료하지 말라고 지시하는 이유이다. 이러한 메모리 캡처에는 많은 포렌식 도구(FTK Imager 외)들이 존재한다.

Locked Computers

 만약 분석하고자 하는 컴퓨터가 잠겨있다면, 조사자는 PC를 리부팅하려는 시도를 해서는 안된다. FireWire를 사용하는 윈도우 PC의 경우 유저에 의하여 비활성화를 하지 않는 한 Firewire 공격에 취약하다. 심지어 Firewire 포트를 사용할 수 없는 경우에도 hot-pluggable Firewire 어댑터를 사용할 수가 있다. Firewire 공격 방식은 잘 알려진 Firewire의 영향에 대한 보안 이슈에 의존한다. 조사자는 Firewire 케이블을 대상 PC에 연결하므로 해당 컴퓨터의 메모리를 직접적으로 컨트롤 할 수가 있으며, 조사자의 PC에서 작은 응용 프로그램을 시작할 수가 있다. 그런 후에 전체 메모리 스냅 샷을 캡처하는데 걸리는 시간은 얼마 걸리지 않는다. 명시적으로 이러한 장치 관리자에서 파이어와이어 드라이버를 사용하지 않도록 설정하는 것이 유일하게 이러한 공격으로부터 벗어나는 방법이다. 

Performing Live RAM Analysis

 데이터 카빙은 메모리 분석에서도 충분히 사용되며 이러한 카빙은 최근의 메신저 대화나, 주고받은 문자 메세지, 그리고 응용프로그램에 의해 사용된 임시정보와 같은 것들을 추출하는데 도움을 준다. 물론, 휘발성 메모리인만큼 최근의 정보들에 대해서만 접근이 가능하다. 이러한 방식으로 얻은 정보가 손상되었거나 부분적으로 덮어씌워졌다해도 없는 것보다는 있는 것이 훨씬 낫다.


Page Files and Hibernation File Analysis


PC가 종료되어도 남아있는 라이브 메모리의 내용이 존재하는데 윈도우는 이를 두가지 타입(페이지 파일과 하이버네이션 파일)으로 컴퓨터 메모리의 스냅샷을 유지한다. 이 두개의 파일은 운영체제 작업 루틴의 하나로써 디스크에 기록된 메모리 아티팩트들을 포함하고 있다.

 하이버네이션 파일은 보통 노트북의 절전모드를 통하여 많이 사용이 되며, 이는 배터리의 소모를 줄이기 위하여 상대적으로 덜 중요한 프로세스들을 메모리에서 내린 후 디스크에 기록을 해놓은 파일이다. 페이지 파일은 대부분의 컴퓨터에서 사용이 되며, 메모리에서 스왑 아웃된 프로세스에 대한 내용들이 기록되어 있다. 이 두 파일은 같은 카빙 기법을 통하여 분석이 될 수 있으며, 윈도우 하이버네이션 파일의 경우 사전에 압축해제 되어야만 한다.


Real Time Analysis and Other Considerations


 때때로 post-factum은 충분하지 않기에 많은 IT 보안 및 정보 전문가들은 많은 상용 키로거들을 사용해보거나 네트워크 트래픽을 차단해보며 범죄로 의심되는 것을 확인하였다. 이러한 기술을 여전히 가치가 있다고 할 수 있으며, 컴퓨터 감시의 범위는 이 문서를 벗어난다.


Worst Case Scenario


마지막으로 사용자가 할 수 있는 모든 방법 중에 어떠한 방법이 그들의 정보를 보호하는 방법인가? 만약 그들이 모든 것을 암호화된 볼륨 안에 저장하거나 그 외에도 그들의 정보를 보호하기 위한 기법을 중첩하여 사용한다면 조사자는 더이상 많은 것을 추출할 수가 없게 된다. 조사자는 여전히 대상 PC를 조사하며 그리고 증거를 수집한다. 

 하지만 대부분의 범죄들은 평범한 사람들이자 컴퓨터를 다루는 능력도 평범하하다. 심지어 그들은 정보 보안에 있어서 너무하다 싶을 정도로 무딘 경향을 보인다. 그렇기에 이들은 하나 또는 그 이상의 것들을 놓칠 수가 있으며, 이는 조사자들이 해당 컴퓨터에서 많은 정보를 쉽게 수집할 수 있는 환경을 제공한다. 


Reference


Retrieving Digital Evidencehttp://articles.forensicfocus.com/2012/07/11/retrieving-digital-evidence-methods-techniques-and-issues/


'Forensic > Theory' 카테고리의 다른 글

$UsnJrnl 분석  (1) 2015.10.09
Torrent Artifacts  (0) 2015.10.06
Extract $MFT  (0) 2015.10.03
Practice USB Artifacts  (0) 2015.10.01
USB Artifacts 관련 정리 - 150930  (0) 2015.09.30