관리 메뉴

Lucete

디포전 2급 실기 정리 본문

For3nsic/디지털 포렌식 전문가 준비

디포전 2급 실기 정리

LuCeT3 2019. 6. 27. 19:34

usb메모리의 무결성이 훼손되지 않도록 증거 사본을 생성하기 위해 해야할

행위들을 시간순으로 작성

 - 쓰기방지가 되어 있지 않은 장비 또는 장치에 USB를 연결하게 되며 전자적으로 무결성을 훼손될 우려가 있다. 이러한 문결성을 훼손하지 않기 위해 이미징 수행전에 반듯이 쓰기방지를 해야한다. 쓰기방지를 함에 있어 출동한 수사관이나 현장에 있는 장비에 따라 하드웨어적 쓰기방지 or 소프트웨어적 쓰기방지로 나누어지게 되는데 하드웨어적 쓰기방지 같은경우 장비를 통해 쓰기방지가 가능하기 때문에 장비에 하드디스크를 꽂아 사용하면 된다. 소프트웨어적 쓰기방지 같은 경우 레지스트리(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies\WriteProtect)를 변경하거나 'fastbloc'과 같은 소프트웨어를 사용하면 된다. 그 후 검증된 디지털 포렌식 도구를 사용하여 전자증거물 형식인 E01 등의 유형으로 이미징을 수행하여야 하며, 이미징이 끝난 후 해시값 비교를 통해 무결성을 다시 한번 검증해야 한다. 

 

디지털 포렌식 절차에 대해 순차적으로 서술하라.(준비,수집,보관,이동)

 - 준비 : 사건이 일어나기전에 미리 하드웨어/소프트웨어를 검증 및 테스트를 하는 단계이며, 현장에서 일어날 상황에대해 미리 대처 준비를 해야한다.

  - 수집 : 사건과 관련된 디지털 기기에서 데이터를 수집하는 시기이다. 수집함에 있어 무결성이 훼손되지 않도록 주의해야하며, 선별이 곤란하거나 압수목적을 달성하기 곤란한 상황이 아니면 선별압수를 통해 꼭 필요한 증거물만 압수하도록 한다. 또한,당사자와 참여인들의 참여권을 보장해주어야 한다. 수집 완료 후 당사자와 참여인 등에게 압수목록을 교부하고 서명이 받아야한다.

 - 포장 및 이송 : 수집된 디지털 증거를 포장하여 분석실로 이송하는 과정으로 무결셩이 유지되어야하며, 봉인봉투, 봉인스티커를 활용하여 무결성을 훼손하지 않아야 한다. 만약 부피가 클 경우 각 연결부에 봉인스티커를 부착하도록 한다. 

0 Comments
댓글쓰기 폼