[이제 시작이야! 디지털 포렌식 : THE BASICS -8장 인터넷과 이메일-]

www.kyobobook.co.kr/product/detailViewKor.laf?ejkGb=KOR&mallGb=KOR&barcode=9788994774206&orderClick=LEa&Kc=

이제 시작이야 디지털 포렌식 - 교보문고

 

8장 웹 서핑, 채팅, 이메일, 소셜 네트워크 등이 어떻게 작동하는지 그리고 어디에 흔저거을 남기는지 이해한다.

---

[인터넷 개요]

URL은 호스트, 도메인 이름, 파일이름의 세 부분으로 구성되어 있다. ex)http://www.digitalforensics.com(임의의 사이트 주소)

 

HTTP(Hypertext Transfer Protocol, 하이퍼텍스트 전송 규약)는 인터넷에서 사용되는프로토콜이며 웹 사이트를 보고 사용하는 데 활용된다. 프로토콜은 다른 장비와 통신할 수 있도록 사전에 협의한 방법이다.

 

* 브라우저는 HTTP프로토콜을 사용하여 www.digitalforensics.com 을 호스트하는 서버에 "get" 요청을 전송한다.

 

* 브라우저가 가장 먼저 해야 할 일은 도메인 이름을 IP(Internet Protocol)주소로 변환하는 것이다.

* 도메인 네임 서버(Domain Name Server, DNS)가 특정 도메인 이름을 그에 해당하는 IP 주소로 변환하는 역할을 한다.

* DNS가 이러한 변환을 한 뒤에 웹 사이트를 호스트하고 있는 서버에 요청이 전송된다. 

* 서버는 요청을 받아서 요청된 웹 페이지와 관련된 내용을 보여준다.

 

웹 페이지는 여러 구성요소로 이루어져 있다.

HTML(Hypertext Markup Language, 하이퍼텍스트 생성 언어)문서

페이지가 표시 되는 방법, 페이지의 내용 등 많은 정보가 저장되어 있다. 그리고 이미지 파일같이 웹 페이지를 구성하고 있는 요소의 파일이름 또한 포함하고 있다. 여기서 주의할 점은 HTML이 프로그래밍 언어가 아니라는 사실이다.

 

웹 페이지의 정적과 동적

정적 웹 페이지 : 이미 만들어져 있는 페이지다. 페이지의 내용, 레이아웃 등은 모두 페이지를 읽어오기 전에 결정되어 있다.

동적 웹 페이지 : 요청됨과 "동시에" 만들어진다. 즉 동적 페이지는 요청이 될 때까지 존재하지 않는 것이다.

                         ex) 쇼핑몰과 같은 웹 페이지에서 사람들마다 보는 웹 페이지가 다르게 생겼다(추천해주는 물건?등)

 

 P2P(Peer-to-Peer)

* P2P는 파일을 공유하는 데 주로 사용된다.

* P2P가 클라이언트/서버 네트워크와 다른 점은 P2P 네트워크에서는 하나의 컴퓨터가 두 가지 역할(클라이언트와 서버)를 할 수 있다는 것이다.

* 그누텔라(Gnutella)는 P2P 네트워크 시스템이나 아키텍처에 사용되는 주요 기술 중에 하나다.

 

그누텔라 요청

P2P 네트워크에서 파일 요청이 끝없이 전파되는 것을 어떻게 방지할까? 사실 이 메커니즘은 정보 패킷안에 이미 만들어져 있다. 각 패킷 안에는 TTL(Time To Live) 값이 있다. TTL 값은 네트워크의 다른 노드에 전달될 때마다 1씩 감소되게 설정되어 있다. 그 숫자가 0이 되면 패킷은 전파를 중단한다.

 

INDEX.DAT파일

* INDEX.DAT는 바이너리 파일로 마이크로소프트의 인터넷 익스플로어가 사용되며 포렌식 조사관에게 매우 가치 있는 정보가 저장되어 있다.

* INDEX.DAT 파일은 다양한 정보를 기록하고 유지하는데, 그 정보에는 방문한 URL, 방문횟수 등이 포함되어 있다. 이러한 파일은 일반 사용자로부터 숨겨져 있으며 반드시 툴을 사용해야 볼 수 있다. ex)FTK, EnCase

 

* IE에는 히스토리(history), 쿠기(cookie), 임시 인터넷 파일 3개의 디렉터리가 있다. 

 

[웹 브라우저 - 인터넷 익스플로러]

브라우저 종류 : 인터넷 익스플로러, 파이어폭스, 크롬 등등

모든 브라우저는 어느 정도의 캐시 시스템을 사용한다. 또한 쿠키, 인터넷 히스토리, 입력한 URL, 즐겨 찾기 등의 기능들을 모두 가지고 있다.

 

쿠키

* 쿠키는 웹 서버가 사용자의 컴퓨터에 저장해놓은 조그마한 텍스트 파일이다.

* 쿠키는 세션을 관리하는 데 사용될 뿐만 아니라 특정 웹 사이트에서 사용자의 선호사항을 기억하는 데에도 사용된다.

* 쿠키는 매우 중요한 증거를 제공하며 하나의 INDEX.DAT 파일에서 관리되며 이 파일에는 URL, 날짜와 시간, 사용자 이름 등이 저장되어 있을 수 있다.

 

***** 쿠키에서 웹 주소가 발견되었다고 하더라도 용의자가 실제로 그 사이트를 방문하지 않았을 수도 있다.

 

임시 인터넷 파일(웹 캐시)

웹 캐시로 다우놀드 시간을 단축시킬 수 있다. 캐시는 사진 파일 같은 웹 페이지 구성요소를 재사용하여 동일한 파일을 여러번 다운로드해야 하는 시간을 제거함으로 속도를 향상시켰다.

 

HTTPS는 인터넷에서 사용되고 있는 HTTP 프로토콜에 보안 기능이 추가된 버전이다. 보안적인 이유로 IE의 기본설정에서는 HTTPS 웹 페이지를 캐시하지 않는다. 이러한 경우 HTTPS 웹 트래픽과 관련된 사건을 조사해야 할 경우 데이터를 캐시에 저장되지 않았다면 이러한 데이터를 캐시에서 찾을 수 없을 것이다.

 

IRC(Internet Relay Chat)

* IRC는 여러 사용자가 모여 대화를 할 수 있는 메신저 프로그램 툴이다

 

* IRC는 대규모 채팅 네트워크로서 특정 업체나 단체가 통제하는 것이 아니기 때문에 감독하는 사람이 조금밖에 없거나 아예 없다. 그리고 정식적인 등록 과정이 없기 때문에 사용자는 거의 완전한 익명성을 보장 받는다.

 

* IRC는 범죄자에게 매력적일 수 있는 기능들이 있는데 클라이언트 직접 연결 기능은 두 사용자가 하나의 컴퓨터에서 상대방의 컴퓨터로 직접 연결 할 수 있게 해준다. 이러한 통신 모드는 완전히 사생활을 보장한다. 이러한 트래픽은 네트워크 서버를 통과하지 않기 때문에 아무런 증거가 남지 않는다.