본문 바로가기

디지털 포렌식 (Forensic)/디지털포렌식전문가 2급 필기

(43)
[디지털포렌식전문가 2급 필기] 4-3-2. 관계형 대수 관계 연산자 - select : 열을 기준으로 한 행의 subset - join : 열을 기준으로 한 각 행을 수평적으로 묶음 - union : 중복 배제를 기준으로 각 행을 수직적으로 묶음 join - 공통 속성을 중심으로 두 개의 릴레이션을 하나로 합쳐서 새로운 릴레이션을 만드는 연산 프로젝션 - 하나의 릴레이션에서 특정 속성들만 해당하는 열을 선택하는데 사용되는 관계 연산자 셀렉션 - 한 릴레이션에서 주어진 조건 식을 만족하는 튜플 만을 선택하는 관계형 대수
[디지털포렌식전문가 2급 필기] 4-3-1. 관계형 모델의 개념 개체 무결성 제약 - 관계 데이터 모델이 가지고 있는 무결성 제약 중 "어떠한 기본 키 값도 null 값이 될 수 없다'는 개념 무결성 (integrity) - 무결성 규정은 규정 이름, 검사 시기, 제약 조건, 위반 조치를 포함 - 무결성 서브 시스템의 주요 기능은 무결성 규정을 관리 유지하고 트랜잭션이 수행하는 갱신 연산이 무결성 규정에 위반되지 않는가를 감시 - 릴레이션 무결성 규정에서 과도 제약(transition constraint)은 데이터베이스의 한 상태에서 다른 상태로 변환되는 과정에서 적용되는 규정으로 데이터베이스 상태의 변환 직전과 직후의 비교가 관련됨 영역 (Domain) - 한 속성이 가질 수 있는 값의 범위 - 한 도메인은 하나의 데이터 형(Data Type)을 가짐 - 한 속성은..
[디지털포렌식전문가 2급 필기] 4-2-2. ER 모델 데이터베이스의 관계 (Relationship) - 엔터티와 엔터티 사이의 관계도 집합임 - 집합 간에 존재하는 무수히 많은 관계 중에 직접 종속인 것만을 관계로 보고모델링함 - 다대다 (M:M) 관계는 복합성을 증가시키므로, 발견 즉시 두 개의 일대다 (1:M) 관계를 갖는 관계 엔터티로 분해됨 - 엔티티 사이에 존재하는 연관성을 의미 ER 모델 - 특정 DBMS와 하드웨어에 모두 상관 없이 독립적으로 설계할 수 있는 모델 Chen에 의해 제안된 ER 모델의 구성 요소 - 엔티티 - 관계 - 속성 ERD - 정보화 시스템 구축할 때 데이터 모델링을 위한 도구 데이터베이스의 엔티티(Entity) - 실세계에서 독립적으로 존재 - 물리적 (개인, 차, 집, 종업원 등) 혹은 개념적(회사, 직업, 대학 과정 ..
[디지털포렌식전문가 2급 필기] 4-2-1. 데이터베이스 모델링의 개념 개념 스키마 (Conceptual Schema) - 모든 응용 시스템들이나 사용자들이 필요로 하는 데이터를 통합한 조직 전체의 데이터베이스를 기술한 것 개념 모델 - 데이터베이스 설계의 가장 상위 레벨 - 총체적인 개관으로 실세계의 정보 환경의 개관을 이해하기 쉽게 보여줌 - 개념적 모델은 실세계의 정보 환경의 개관을 이해하기 쉽게 보여줌 - 가장 일반적으로 사용하는 개념 모델은 엔티티-관계 모델(ER 모델) - 개념 모델은 데이터 묘사와 식별의 기본이 됨 물리 모델 - 추상화의 가장 하위 단계 - 데이터가 디스크와 같은 저장 매체에 저장되는 것을 기술 계층형 데이터 모델 - 개체 타입 간 상, 하 관계가 존재 - 개체 타입들 사이에는 사이클이 허용되지 않음 - 두 개체 사이에는 하나의 관계만 허용 외부..
[디지털포렌식전문가 2급 필기] 4-1-1. 데이터베이스 개념 데이터베이스 - 통제된 중복이 허용된 통합된 데이터 - 컴퓨터가 접근할 수 있는 저장 매체에 저장된 데이터의 집합 - 조직의 고유 기능을 수행하기 위하여 반드시 유지해야 할 데이터 - 데이터베이스 파일에서 레코드만 삭제된 경우에는 데이터베이스의 스키마 테이블을 이용하여 파일 내에 존재하는 비할당 영역에서 삭제된 레코드를 해석하여 추출할 수 있음 - 데이터베이스 서버는 중요한 정보가 없더라도 애플리케이션 취약점이 존재하는 경우 해킹 공격의 경유지로 활용될 수 있음 - MS-SQL 서버에서 sa 계정은 데이터베이스 서버 설치 시 자동으로 생성되며 관리자 계정을 뜻함 데이터 중복성으로 인하여 야기될 수 있는 문제점 - 데이터 간에 불일치가 일어나 내부적으로 데이터 일관성(consistency)이 없게 됨 - ..
[디지털포렌식전문가 2급 필기] 3-2-5. 네트워크 증거 수집 방법 네트워크 장비에서 증거 수집 방법 - 네트워크 구성도를 파악하여 어떤 위치에서 어떤 정보를 수집할지 확인 - 네트워크 장비의 시스템 시간과 현재 정확한 시간과의 오차를 확인해야 함 - 사용자 컴퓨터에서 무선 및 LAN 카드를 통해 전송되는 패킷들을 터미널에 출력하기 위하여 Windump를 사용할 수 있음 리눅스 홈페이지에 과도한 HTTP GET 요청이 발생하여 서비스 거부 현상이 발생하였을 때 공격지 IP를 확인할 수 있는 방법 - access.log 파일을 통하여 웹 접근 이력을 확인
[디지털포렌식전문가 2급 필기] 3-2-4. 네트워크 공격 유형 DDoS (서비스 거부 공격) - 여러 대의 컴퓨터를 일제히 동작하게 하여 특정 사이트를 공격하는 해킹 방식 - 목표 서버가 다른 정당한 신호를 받지 못하게 방해하는 작용만 함 - 분산 서비스 거부 공격의 대표적인 도구로는 트리누(Trinoo)와 트리벌 플러드(TFN : Tribal Flood Network), 슈타첼드라트(Stacheldraht) 등이 있음 ARP 프로토콜의 동작 과정 1. 송신 호스트는 수신 호스트 IP 주소를 입력한다 2. 송신 호스트의 네트워크 계층에서 자신의 MAC 주소와 목적지 IP 주소로 ARP 패킷을 브로드캐스트한다. 3. 자신의 IP 주소를 확인한 수신 호스트가 자신의 MAC를 ARP 패킷으로 전송한다. (ARP 스푸핑을 위해 개입하는 단계) 4. 송신 호스트는 수신 호스..
[디지털포렌식전문가 2급 필기] 3-2-3. 네트워크 보안 침입차단시스템 (Firewall) - 침입차단시스템은 외부 망에서 내부 망으로 접근하는 주요 입구에 설치되어야 함 - ACL (Access Control List)을 기반으로 패킷 헤더를 검색해 패킷을 선택적으로 허용 또는 거부 - 침입차단시스템은 NAT(Network Address Translation) 기능을 이용하여 내부 사용자의 IP가 외부에 공개되지 않도록 할 수 있음 침입차단시스템의 주요 기능 - 접근 통제 규칙에 의한 접근 제어 - 허가받은 객체만 접근할 수 있도록 통제하는 식별 및 인증 - 보유한 데이터에 대한 불법 변조를 방지하는 무결성 점검 - IP와 포트 정보를 기반으로 방어하는 개념 방화벽의 특성 중 서비스 제어 - 안에서 밖으로 혹은 밖에서 안으로 접근할 수 있는 인터넷 서비스 유..
[디지털포렌식전문가 2급 필기] 3-2-2. 네트워크의 종류 무선랜을 안전하게 사용하기 위한 방법 - AP를 보호하기 위하여 전파가 건물 내부로 한정되도록 전파 출력을 조정 - AP에 접근 가능한 MAC 주소를 기록하여 사용 - SSID를 설정하고 WEP을 이용하여 암호화 LAN (근거리 통신망) - 확장성과 재배치성이 좋음 - LAN이 구축되는 거리는 수 km 이내로 제한 - 네트워크 내의 접속 기기간의 전송 가능 - 광대역 전송 매체의 사용으로 고속 통신 가능 - 여러 장치를 서로 연결한 데이터 통신 시스템 - 모델은 사용자의 관점에 따라 대등 대 대등 LAN으로 구성될 수 있음 - 통신을 하기 위한 하드웨어와 소프트웨어의 조합. 하드웨어는 개략적으로 자국, 전송 매체, 연결 장치로 나눌 수 있음 - MAC 주소를 사용하여 침입자를 추적할 수 있는 네트워크 환..
[디지털포렌식전문가 2급 필기] 3-2-1. 네트워크 이해 ARP (Address Resolution Protocol) - 목적지 IP 주소를 목적지 MAC 주소로 변환해 주는 프로토콜 - ARP 캐쉬는 가장 최근에 매핑된 IP와 하드웨어 주소를 관리 - ARP 스푸핑 공격의 원인이 됨 - 네트워크 주소(IP)는 알고 있지만 링크 레이어(이더넷) 주소를 모를 때 사용 - ARP Spoofing 공격에 대하여 취약점 존재 - 주소 매핑을 위해 브로드캐스팅 패킷을 이용하기도 함 - 논리적인 IP 주소를 물리적인 MAC 주소로 변경하는 역할 - ARP 패킷은 네트워크 계층을 통하여 다른 네트워크로 넘어갈 수 없음 - ARP 스푸핑 공격이란 잘못된 맥주소로 패킷을 보내는 것을 의미 NIC (Network Interface Card) - promiscuous 모드로 변경..