[이제 시작이야! 디지털 포렌식 : THE BASICS -2장]

비트와 바이트 그리고 수의 체계

비트 : 0과 1로 이루어진 2진수

바이트 : 8개의 비트로 이루어 진다(ex.01101001)

 

 

바이너리에서 문자로: ASCII와 유니코드

인코딩 방법

1. ASCII : 영어를 표시하기 위해 사용하는 인코딩 방법

2. 유니코드(Unicode) : 전 세계의 모든 언어를 표시하기 위해 사용된다(수천 개의 문자로 이 루어져 있다.)

 

 

파일 카빙(file carving) :

할당되지 않은 공간처럼 특정한 형태가 없는 데이터를 바탕으로 파일의 위치를 확인하고 복원하 기 위해 사용된다.

헤더가 있다면 헤더로 파일을 식별한다.

바이너리와 헥스를 해석할 수 있는 능력이 파일 카빙을 가능하게 하는 것이다.

 

파일 확장자와 파일 시그니처

파일 : 연속적인 비트와 바이트로 이루어져 있다. -> 파일을 식별하기 위해 파일 확장자 활용

시그니쳐 분석 : 헤더와 확장자가 일치하지 않는 파일도 찾아서 쉽게 분석

 

Ex.

위와 같이 Smoking Gun.docx파일의 확장자만 mp3로 바꾼 후

이 파일의 헤더 파일을 확인해 보면 확장자가 mp3로 변경 했더라도 원본 문서가 docx인걸 확인 할 수 있다

 

저장장치와 메모리

오늘날 데이터 생성 방식

1.  전자기                       

2. 극미한 전자 트랜지스터(플래시)

3. 빛의 반사(CD, DVD)

 

자기 디스크

1.     자기화 되면 “1”, 그렇지 않으면 “0”이 된다.

2.     하드 드라이브의 속도가 빠르면 빠를수록 더 빨리 데이터를 수집한다.

 

플래시 메모리(SSD)

1.     트렌지스터에 전하를 가지고 있으면 “1”, 그렇지 않으면 “0”이 된다.

2.     “솔리드 스테이트 드라이브(Solid State Drive)”라고도 불림

 

광 저장장치

 

1.     광 디스크에 있는 반사 물질과 레이저를 사용해 데이터를 쓰고 읽는다.

2.     CD, DVD, Blu-ray디스크 등이 있다.

 

휘발성 vs 비휘발성 메모리

 

 RAM에 있는 데이터는 전력이 공급되는 동안만 존재하고 전력이 끊기면(컴퓨터를 끄면) 데이터가 사라지기 시작한다. -휘발성-

 하드 드라이브에 저장된 파일은 컴퓨터의 전원이 끊겨도 그대로 유지된다. -비휘발성-

 

++++

예전 포렌식 분석의 대부분의 증거는 하드 드라이브에 초점이 맞춰졌지만 오늘날에는 그렇지 않다.

 

컴퓨터 환경

 

종류

1.  독립형

2. 네트워크

3. 메인프레임

4. 클라우드

독립형 컴퓨터 :

1. 다른 컴퓨터에 연결되어 있지 않은 컴퓨터

2.증거가 있을 만한 장소가 한정되 있다

3. 아파트나 일반 주택 같은 가정집에 주로 존재한다.

 

네트워크 컴퓨터 :

1. 적어도 하나 그리고 잠재적으로 많은 다른 컴퓨터에 연결되어 있는 컴퓨터

2.   복잡도 증가, 증거를 찾을 수 있는 위치 증가

3.   비즈니스 환경에서 주로 존재한다.

 

메인프레임 :

1. 모든 컴퓨터 능력을 한 위치에 집중시킨다.

2. 프로세서, 저장장치 그리고 프로그램 모두가 한 위치에서 집중되어 통제된다.

 

클라우딩 컴퓨팅 종류

1.     IaaS - 기업은 서비스 제공자로부터 하드웨어를 대여 받는다.

2.     PaaS - 개발자가 필요에 따라 다양한 환경을 빌릴 수 있도록 해준다.

3.     SaaS – 인터넷을 통해 고객이 필요한 소프트웨어를 제공한다.

 

데이터 종류

활성 데이터 : 컴퓨터에서 우리가 사용하는 데이터

숨은 데이터 : 이미 삭제되었거나 부분적으로 덮어써진 데이터

아카이브 데이터 : 외장하드, DVD, 백업 테이프 등이 존재

 

데이터의 영속성

 

하드 드라이브에 남아 있는 데이터는 쉽게 완전히 삭제 할 수 없다. 삭제된 파일은 오랜 기간 다 른 데이터로 덮어써지기 전까지 하드에 그대로 남아있다.

 

슬랙 공간 : 특정 공간을 할당 받은 파일이 그 공간을 모두 사용하지 않고 남아 있는 공간

이 슬랙 공간에 남아 있는 데이터를 기반으로 예전에 삭제했던 데이터를 복원할 수도 있

다.

 

자기 하드 드라이브의 데이터 저장 방식

페이지 파일

1.     덮어써지기 전까지 데이터는 하드에 남아 있는다.

2.     페이지 파일은 지속적으로 사용되는 것이 아니기 때문에 일부 데이터는 오랫동안 저장되 어 있을 수도 있다.

3.     페이지 파일에는 특정 시점에 RAM에 저장되어 있던 데이터가 저장된다. 즉 그 어떤 데 이터도 저장될 수 있다는 의미다. 암호화되지 않은 비밀번호가 페이지 파일에 남아 있을 수도 있다.