Computer Forensics

디지털 증거 분석

컴퓨터 포렌식은 PC에 남아 있는 각종 디지털 증거들을 수집하고 분석하는 일련의 작업을 말합니다

  • Computer Forensic 주요 내용

    · 압축 및 복합파일, 암호화 파일/볼륨 증거분석
    · 삭제된 파일, 디렉토리, 파티션 탐지 및 복구
    · 인터넷 증거, Email 증거 수집 및 분석
    · 휴지통, 프린터, 링크파일 증거 분석
    · 시그니처(Signature)분석, 해쉬(Hash) 분석
    · 타임라인(Timeline) 분석
    · 레지스트리 분석



    기존 컴퓨터 포렌식의 한계

    · 수사관의 능력에 따라서 증거 수집 및 분석의 차이 발생
    · 전문적인 포렌식 지식이 필요
    · 많은 시간과 비용 소요
    · 최근 디지털 증거의 복잡성 상승에 따른 분석 난이도 상승
    · 스마트폰 및 모바일 기기 사용으로 인해 디지털 활동이 컴퓨터에만 국한되지 않음
    · SNS 사용의 급증으로 인해 인터넷 증거의 가치 상승

Mobile Forensics

모바일 및 태블릿 디지털 증거 분석

스마트폰 및 태블릿의 대중화에 따라 각종 사건사고에 중요한 증거 데이터로써 활용됨에 따라
모바일 기기에서의 데이터 추출 및 분석 작업이 수행 되어야 합니다.

  • 모바일 포렌식 분야의 큰 과제

    1. 모바일기기의 이미징
    내장메모리 암호화, 데이터 암호화 등 각종 보안기법이 모바일 기기에
    도입됨에 따라 추출 가능한 데이터나 추출 방법에 제약이 걸립니다.
    2. 모바일기기의 데이터 분석 및 복구
    기존의 모바일 포렌식 장비나 도구들로는 사용자의 모든 활동을 완벽하게 분석 할 수 없습니다.
    예를들어 App, 브라우저, SNS, 이메일 등 스마트폰을 통한 각종 디지털 활동을 분석하기엔 한계가 있습니다.
    3. 컴퓨터 및 모바일 디지털 증거 자료의 통합 분석
    스마트폰이나 태블릿이 대중화됨에 따라 대부분의 사건들은 용의자의 다양한 디지털 활동에 대한 통합된 조사가 필요합니다.
    하지만 컴퓨터와 모바일의 포렌식 장비가 개별적이기 때문에 수집된 증거자료에 대한 통합적인 관점 유지가 어렵습니다.

MAGNET AXIOM

컴퓨터 포렌식에 대한 새로운 접근 방식

최근 컴퓨터 포렌식 조사관들은 하나의 도구를 사용하는 것이 아니라 각각의 데이터 분석에 맞는 장비를 도입하여 사용하기 시작 했습니다.

  • MAGNET AXIOM 주요 기능 및 장점

    · 다양한 운영체제의 포렌식 지원
    · 컴퓨터 뿐만 아니라 다양한 모바일 OS 지원
    · FAT32,NTFS,HFS,EXT4 등 다양한 파일 시스템 지원
    · 기존의 다양한 포렌식 도구와 연계 가능
    · 각종 문서 파일이나 메일 등, 비즈니스 프로그램 지원
    · 수 백가지 이상의 다양한 데이터 타입 분석 지원
    · 타임라인 분석 기능을 통해 날짜 및 시간대별 활동 정보 확인
    · 다양한 포멧의 보고서 출력 기능
    · 상세한 Internet History 수집 및 분석 기능

    이러한 새로운 유형의 포렌식 장비는 새로운 작업 흐름을 가능하게 하며 조직 내에서 디지털 증거자료의 분석작업을 효율적으로 할수 있게 해줍니다.
    아울러, 포렌식 조사관들이 관련자들이 보유하고 있는 디지털 증거자료를 빠르게 입수할 수 있게 해줍니다.

  • MAGNET AXIOM를 사용하는 이유는 다음과 같습니다.

    · AXIOM의 강력한 Evidence Search 기능은 서로 다른 수백가지 이상의 데이터를 자동으로 수집하고 분석 할 수 있습니다.
    · AXIOM하나로 서로 다른 데이터를 수집하고 분석하기에 다른 도구를 사용 할 필요 없이 시간이 절약됩니다.
    · AXIOM의 직관적인 인터페이스는 포렌식에 대한 전문적인 지식이 없어도 손쉽게 사용 할 수 있습니다.

    AXIOM을 사용하면 전문적인 포렌식 관런 전문 지식이 없어도 수 백가지 이상의 데이터를 자동으로 수집하고 분석 할 수 있으며
    이는 전체적인 디지털 포렌식 작업의 효율을 극대화 할 수 있습니다.

  • MAGNET AXIOM는 다양한 종류의 포렌식 장비와의 호환성이 뛰어납니다.

    MAGNET AXIOM는 기존의 유명한 포렌식 도구인 EnCase, Nuix 및 X-Ways와 Cellebirte’s UFED, Micro Systemation’s XRY 등의
    제품들과 호환하여 더 넓고 세밀하게 디지털 증거자료를 찾을 수 있습니다.
        - Cellebrite UFED, XRY, Memory Chip-off 및 JTAG 등 다양한 포렌식 도구 또는 기술을 이용한 스마트폰 이미지 분석
        - EnCase, X-Ways, FTK, Passware Kit Forensic 같은 다양한 컴퓨터 포렌식 도구와 연동

    · Supported Forensic Image File
        - E01, Ex01, L01, Lx01, AD1, dd, raw, bin, img, ima
    · Supported File Formats
        - dmg, flp, vfd, bif, vmdk, vhd, xva, zip, tar
    · Input Sources
        - Drives, Volumes / Partitions, Images / Folders,
          Network shares, Volumeshadow copies,
          Physical & Logical Mobile Images file Dumps

  • MAGNET AXIOM는 서로 다른 컴퓨터와 스마트폰 및 태블릿을 통합적으로 분석 및 관리 할 수 있습니다.

    현대의 디지털 활동은 PC에 한정적이지 않고, 스마트폰, 태블릿등 다양한 디지털 기기에서 이루어 지고 있습니다.
    MAGNET AXIOM은 다양하게 분산 된 디지털 기기의 정보를 통합하여 분석 할 수 있습니다.
    MAGNET AXIOM은 장치의 유형이나 운영체제에 관계 없이 데이터를 수집하고 하나의 Case로 통합 할 수 있습니다.
    MAGNET AXIOM의 TimeLine 분석은 통합된 하나의 Case 내의 디지털 활동을 시간대 별로 확인하고 분석 할 수 있습니다.

  • MAGNET ACQUIRE

    모바일 이미징 솔루션

    MAGNET ACQUIRE는 안드로이드 또는 IOS 스마트폰 및 테블릿에서 쉽고 빠른 이미징을 할 수 있는 솔루션입니다.

    • 스마트폰 인터넷 및 App 데이터 복구의 5가지 문제점

      · 지속적인 신규 App 출시
      · 기존 App의 지속적인 업데이트로 인한 변경
      · 다양한 브라우저 사용에 따른 데이터 분석의 복잡성
      · 비 인기 App 내 중요 데이터 저장
      · 기존 포렌식 장비의 느린 업데이트

    • 스마트폰 증거 수집의 문제점

      · 스마트폰의 물리적 이미지 추출 제한
          - 신규 모바일 기기는 물리적 이미지 추출이 어려움
      · 제한 된 논리적 이미지 추출
          - 일반적인 논리 이미지 추출은 수집할 수 있는 데이터의 한계치가 있음
      · 결합백업 방식은 데이타추출의 범위를 확대
          - 결합 백업 방식을 사용하여 논리 이미지 추출에서의 문제점을 보안 할 수 있음

    • MAGNET ACQUIRE의 추출 경합 방식은 추출 작업 과정을 효율적으로 만듭니다.

      서로 다른 추출 방식을 결합함으로서 복잡한 추출 과정이 단순화 됩니다.
      디스크의 이미지로부터 추출된 증거물들을 비교할 필요가 없으므로 증거 분석 시간이 줄어듭니다.
      하나의 증거 자료를 다수의 분석관과 쉽게 공유 할 수 있습니다.

    • MAGNET ACQUIRE를 사용하는 이유

      · 안전성과 신속성
          - 안전하고 신속한 이미지를 추출하기 위해 직관적인 사용자 인터페이스 사용
      · 데이터 추출 극대화
          - IOS와 안드로이드에서 컨텐츠 및 데이터 추출의 극대화
      · 문서화 된 추출 방법
          - 스마트폰이나 하드드라이브에서 어떤 방식으로 추출했는지 활동 로그 및 문서에서 확인 가능

    • MAGNET ACQUIRE는 두가지 추출 방법을 제공합니다.

    MAGNET IEF FRONTLINE

    정보유출 조사 / 내부감사 / 사이버침해사고

    법 집행기관, 이릍테면, 세관 및 국경 수비대, 가석방 및 보호관찰등의 비전문 요원들이 현장조사를 수행하고
    압수물의 인터넷 활동에 대한 조사 및 압수된 용의자 컴퓨터의 정당성을 입증하기 위해 고안되어졌습니다.
    MAGNET IEF FRONTLINE을 통해 디지털 포렌식 요원이 없는경우에도 포렌식 비전문요원들이 잠재적 디지털 증거자료의 식별을 지원할 수 있습니다.

    • 주요 장점 및 기능

      · 휴대성
          - USB 동글을 통한 운용
      · 빠른 증거 발견 및 먼저보기
          - 한번의 검색으로 수분이내에 사진, 비디오, 브라우져 이력 및 채팅내용등에 대한 발견 및 보고서 작성
      · 디지털증거의 실시간 화면검증
          - 비전문 요원들도 잠재증거 식별 가능 및 압수된 컴퓨터 정당성 확보 가능.
          - 다수 컴퓨터의 빠른 분류 및 포렌식 백로그를 줄여줌.
      · 사용자 편의성
          - 비 포렌식 요원들 사용 가능
      · 법의학적 정당성
          - 포렌식 데이터의 완전성 유지

    Free Tools

    정보유출 조사 / 내부감사 / 사이버침해사고

    전형적인 Target 공격의 진행 과정은 초기감염 -> 확산 -> 제어권 확보 -> 정보유출의 단계를 거치며, 이러한 공격은 단 시간에 발생하지만, 침해 사고의 발견에는
    많은 시간이 소요됩니다. 그렇기에 내부 시스템에서 발생하는 위협에 대한 가시성 확보가 필요하며, 이 위협에 대한 즉각적인 대응이 필요합니다.

    • Freetools

      - Dropbox Decryptor
      - Encrypted Disk Detector
      - Google Maps Tile Investigator
      - IEF Logical Evidence File (LEF) Creator for EnCase v7
      - IEF Evidence Processor Module for EnCase v7
      - IEF to EnCase v6 Connector
      - IEF to EnCase v7 Connector
      - MAGNET RAM Capture
      - TSV to TLN Converter
      - Web Page Saver

    Encase Connector

    Encase Connector

    전형적인 Target 공격의 진행 과정은 초기감염 -> 확산 -> 제어권 확보 -> 정보유출의 단계를 거치며, 이러한 공격은 단 시간에 발생하지만, 침해 사고의 발견에는
    많은 시간이 소요됩니다. 그렇기에 내부 시스템에서 발생하는 위협에 대한 가시성 확보가 필요하며, 이 위협에 대한 즉각적인 대응이 필요합니다.

    • Forensic Duplicators 주요 기능 및 장점

      - 포괄적인 디지털 포렌식 기능 수행
      - 사이버범죄, 해킹, 정보유출, 악성코드 포렌식
      - 서버 시스템, 네트워크 포렌식
      - 스마트폰 포렌식
      - 컴퓨터 포렌식

    MAGNET Forensics 커리큘럼
    • * AXIOM Process 와 AXIOM Examine 구성 설명

      · 증거 데이터 수집(AXIOM Process)
           - Case 생성 방법
           - 디스크 이미징 방법 설명
           - 증거 데이터 수집 시 키워드 서칭, Hash 라이브러리 등록 등 추가 수집 방법
           - 증거 데이터 수집 범위 설정
             (채팅 기록, 인터넷 히스토리, 암호화 파일, 메신저, 레지스트리 정보 등)

      · Evidance 파일 불러오기
           - 디바이스 불러오기
           - 폴더 불러오기
           - 볼륨쉐도우 카피 불러오기
           - 이미지 파일 불러오기


      * 암호와 파일 탐지 후 크래킹 실습

      · Passware Kit Forensic 도구와 연동 실습


      * 스킨톤 분석 기법을 활용한 이미지 파일 추출


      * 타임라인 분석


    • * AXIOM Examine 인터페이스 설명

      · 메뉴 밎 도구
      · 필터링 기능 설명


      * AXIOM 분석 기능 활용

      · 채팅 기록 수집내역 분석
        (MSN, Skype, Google Talk 등)
      · 클라우드 수집 목록 분석
        (Google Drive, OneDrive, N Drvie 등)
      · 문서 수집 목록 분석
        (MS Office, Hwp, TXT 등)
      · 미디어 파일 수집 목록 분석
        (JPG, PNG, BMP, GFI, WMV, MP4, MOV 등)
      · OS 정보 수집 항목 분석
        (파일시스템, 키워드 검색, LNK, 네트워크 정보, 공유 폴더

      휴지통 기록, USB, 유저정보 등)
      · P2P 이용 내역 수집 분석
        (당나귀, 토렌트 등)
      · SNS 수집 분석
        (페이스북, 구글 플러스, 인스타 그램, 라인포토, 트위터 등)
      · E-mail 수집 목록 분석
      · 인터넷 히스토리 분석


    오시는 길

    오시는 길 안내

    • 지하철 이용시 7호선 가산디지털단지역,1호선 가산디지털단지역 · 가산디지털단지역 5번 출구 → 나오신 방향으로 300M (STX V타워 건물)
    • 자가용 이용시 · 서울시 금천구 가산디지털단지1로 128 STX V타워 (네비게이션 STX V타워 검색)