관리 메뉴

Lucete

포렌식 기초 본문

For3nsic/Forensic

포렌식 기초

LuCeT3 2015. 11. 11. 22:09

포렌식 증거처리 절차

전에 앞에서 말한 바가 있다. 만약 포렌식을 한다고 말하고 다니는데 증거처리 절차 모르거나 한다면... 부끄럽다

그래서 한번 더 강조한다. 왜냐? 중요하니깐.

사전 준비 단계 -> 증거 수집 단계 -> 증거 이송 단계 -> 증거 분석 단계 -> 정밀 검토 단계 -> 결과 문서화 단계 이러한 순으로 된다!!!


사전 준비 단계

증거 수집 단계

증거 이송 단계

*증거 분석 단계

증거물 복제할 때에는 원본 증거물의 무결성 유지를 위해 쓰기방지장치를 해야 한다.

또한 증거물 복제는 보관용과 분석용으로 나뉘는데 이 둘은 물리적 위치를 따로 지정하여 관리해야한다. 

*무결성* 매우중요한거다. 증거에 번호를 부여하고 원본 증거물 복제 과정을 기록해야 한다.

증거물복제는 원본의 장치와 동일한 것에서 이루어지는 것이 제일 좋고 만약 무결성을 깨트려야 할경우 서명이 반듯이 필요하고 이유가 꼭 필요하다.


디지털 포렌식을 할때의 주의 사항은 데이터든 증거물을 무조건 수집하지 못한다. 이가 개인정보에 해당된다면 동의가 필요하다. 


CoC(Chain of Custody)

이는 현재의 증거가 최초로 수집된 상태에서 지금까지 어떠한 변경도 되지 않았다는 것을 보증하기 위한 절차적인 것을 말한다.

CoC의 가장 중요한 점은 어떠한 물건이 이동하는 과정의 기록이다. 


전자증거개시제

- EDRM

기존의 증거개시의 다양함을 표준화하기 위하여 만들어짐(법률적, 기술적 가이드라인)

1 - 정보관리 단계

2 - 식별 단계

3 - 보존 단계 

4 - 수집 단계

5 - 처리 단계 

6 - 검토 단계

7 - 분석 단계

8 - 제작 단계 

9 - 제출 단계


- EDBP

앞의 EDRM과 달리 법률적인 분야에 더 세부적인 절차를 제시하여 기업들에게 법률 서비스 제공하기 위해 만들어짐


그럼 두개의 차임점은 무엇일까?

EDRM은 정보관리 항목을 소송 전 준비단계에서 중요한 부분으로 단계 전반에 걸쳐 다루는 반면 EDBP는 소송전 준비 단계의 일부분만 다루고 있다.


포렌식의 준비도 

신뢰할 수 있는 증거 수집 환경의 능력을 최대화하고 사고 대응 비용을 최소화 하도록 도와준다.

즉, 포렌식 준비도는 법적 증거능력을 가지는 증거 데이터를 수집하고 분석하기 위한 환경을 갖추고 디지털 포렌식 수행 비용을 최소화하며, 디지털 포렌식에 맞는 환경이 얼마나 잘 가추어져 있는지에 대한 지표이다.

특징을 보게 되면 침해사고 이후에 진행되는 포렌식을 지원 또는 보충해주는 특징이 있다.

두번째 특징은 포렌식 준비도와 일반 정보보호 정책은 그 요구사항이 많이 겹친다는 것이다.

세번째는 포렌식 준비도는 공격과 방어 비용에 관한 불균형을해소해 줄 수 있다.


live response 

살다+응답하다

즉 살아있는 환경에서 정보를 수집하는 방법을 말한다.


'For3nsic > Forensic' 카테고리의 다른 글

데이터 저장 매체  (0) 2015.11.17
Chrome Forensic  (0) 2015.11.16
포렌식 기초  (0) 2015.11.11
디지털 포렌식이란?  (0) 2015.11.10
파티셔닝과 디스크레이아웃 등  (0) 2015.11.10
포렌식을 더깊게...  (0) 2015.11.10
0 Comments
댓글쓰기 폼