본문 바로가기

디지털 포렌식 (Forensic)/디지털포렌식전문가 2급 필기

(43)
[디지털포렌식전문가 2급 필기] 3-1-3. 기타 응용 프로그램 MKV - 최근에 개발된 코덱으로 비디오와 자막을 함께 저장할 수 있는 것 스테가노그래피 (Steganography) - 디지털 포렌식 프로그램으로서 전달하려는 기밀 정보를 그래픽, 사진, 영화 소리 파일 등에 암호화하여 숨기는 심층 암호 기술 - 데이터 은닉 기법 중 하나로 전달하려는 기밀 정보를 JPEG, MP3 등의 멀티미디어 파일이나 HWP, DOC 등의 문서 파일에 인간의 인지 능력으로는 원본과 구별 불가능 하도록 숨기는 방법 스테가노그래피에서 사용하는 툴이 아닌 것 - StegDetect 디가우저 - 디지털 포렌식을 우회하기 위한 안티-포렌식 기법 중 하나 - 물리적 하드디스크에 강한 자석 성분을 접근시켜 자화시키는 방법 안티-포렌식 응용 프로그램 - 비트락커 : Microsoft 사의 Win..
[디지털포렌식전문가 2급 필기] 3-1-2. 전자우편 전자우편 - Outlook 같은 전자우편 프로그램을 사용할 경우 이메일 데이터를 삭제하더라도 데이터의 복구가 가능 - 포렌식 관점에서는 사건 정황을 이해하고 범행 증거 자료 수집을 위한 중요한 자료로 활용 - Microsoft Outlook에서 개인 폴더 파일인 '.pst' 파일은 사용자 컴퓨터 시스템에 이메일을 저장하는 데이터 이메일 헤더 - 송신자가 수신자에게 이메일을 보낼 때 거치는 경로 정보를 저장 - 이메일 서버가 할당한 고유 번호인 메시지 ID를 담음 전자우편 헤더에서 확인할 수 없는 사항 - 메일이 경유한 라우터 목록 이메일 클라이언트 - 대부분의 이메일 클라이언트가 지원하는 중요한 프로토콜은 MIME - MIME는 이메일 클라이언트를 통하여 이진 첨부파일을 보낼 때 사용 - MAPI는 Mi..
[디지털포렌식전문가 2급 필기] 3-1-1. 웹 브라우저 쿠키 - 쿠키의 분석을 통하여 특정 사이트에 접속한 사용자의 아이디 또는 패스워드에 관한 정보 얻을 수 있음 - 개인 ID와 비밀번호, 방문한 사이트 등의 정보가 담겨 있음 - 사용자의 다음 방문시 웹 서버는 그가 누구인지 등에 대하여 바로 파악 가능 리퍼러 로그 파일 (Referrer Log File) - 사용자가 사이트를 방문하기 위하여 어떠한 검색엔진으로부터 어떤 키워드를 사용하였는지를 알 수 있으며, 사용자가 경유한 URL 경로를 알 수 있음 Windows 7 사용자가 IP 주소를 얻어오는 순서 - 캐쉬 > Hosts 파일 > 로컬 DNS 서버 FireFox3 places.sqlite 파일은 웹 히스토리를 저장 cookies.sqlite 파일은 쿠키를 저장 places.sqlite의 moz_his..
[디지털포렌식] 2-2-7. Linux 기반 시스템 logrotate - 로그 파일을 기록할 수 있는 볼륨이 크지 않아 자주 Disk Full 상황이 발생할 때 선택할 수 있는 도구 mod_security - Apache 웹 서버의 보안을 강화하기 위한 웹 보안 프로그램 리눅스 시스템에서 사용할 수 있는 보안 도구 - 와이어샤크 : 네트워크 패킷 수집 및 분석, 패킷 스니핑과 프로토콜 분석 도구 - TCPWrapper : IP 접근 제어 - nmap : 네트워크 포트 스캔, 오픈 소스로 사용하기 용이, 가벼운 포트 스캐너 및 네트워크 분석 도구의 역할을 할 수 있는 프로그램 - netcat : 포트 스캔, 파일 전송, 커맨드 라인에서의 원격 네트워크 서비스의 상호작용 등 광범위한 용도를 위해 사용될 수 있음 - shadow password : /etc/p..
[디지털포렌식] 2-2-6. UNIX 기반 시스템 fork() - 유닉스 운영체제의 시스템 콜 중에서 새로운 프로세스를 생성시키는데 사용되는 표준 함수 유닉스 운영체제 - 유닉스는 다중 프로그램 시스템으로 fork 시스템 호출에 의하여 쉽게 프로세스를 만들 수 있음 - 유닉스는 트리 구조 디렉토리를 가진 파일 시스템을 제공하며 파일은 커널에 의하여 비구조적인 바이트들의 연속으로서 지원 - 유닉스 운영체제는 사용자, 커널, 하드웨어로 이루어지며 커널은 파일 서브 시스템과 프로세스 제어 서브 시스템의 두 요소로 구성 유닉스 사용자 인터페이스에서의 쉘의 기능 - 프로그램은 명령어 해석기에 의하여 수행 - 명령어 해석기는 사용자 프로세스로 운영체제의 커널을 둘러싸고 있음 - 명령어 수행은 fork 시스템 호출과 목적 파일의 execve에 의해 수행 - 명령에 ..
[디지털포렌식] 2-2-5. Windows 기반 시스템 HKEY_CLASS_ROOT - 파일에 대한 확장자에 대한 정보와 프로그램 간의 연결 정보 HKEY_LOCAL_MACHINE - Default 로그온 계정 정보가 포함되어 있는 Root Key HKEY_CURRNET_USER - 윈도우가 설정된 컴퓨터 환경 설정에 대한 정보 - 현재 시스템에 로그온하고 있는 사용자와 관련된 시스템 정보를 저장 HKEY_USERS - 시스템에 있는 모든 계정과 그룹에 관한 정보를 저장 윈도우 이벤트 로그 - 윈도우 시스템에서 일어나는 이벤트들의 로그를 저장하는 파일 - 윈도우에서 발생하는 매일 매일의 이벤트 변화를 기록 - 사용자가 임의로 이벤트 로그에 기록되는 이벤트의 범위를 지정 가능 - 관리자는 이벤트 로그를 위한 GUI 기반의 이벤트 뷰어를 통하여 이벤트 로그를 제..
[디지털포렌식] 2-2-4. 운영체제의 기능 메모리 관리자의 역할 - 주기억장치의 유휴 공간 관리 - 페이지 풀 관리 및 페이징 - VAS(Virtual Address Space)에 의한 메모리 보호 폴링(Polling) 방식 입출력 - 운영체제의 입출력 방식 중 운영체제가 입출력 연산의 종료 시점을 결정하고 주기억장치의 장치 제어 기간 데이터 전송을 CPU가 직접 입출력을 수행하는 방법 Exception - 운영체제는 프로그램이 실행될 때 Divide Error, Stack Fault 등이 발생하면 실행 중인 프로세스를 중단하고 관련 오류를 처리함 메모리 분석의 중요성 - 대표적인 휘발성 자료 - 사용자의 프라이버시를 보호할 수 있음 - 메모리에 바로 로드되는 악성코드를 확인 가능 가상 메모리 - RAM + pagefile.sys 디스크 스케쥴링..
[디지털포렌식전문가 2급 필기] 2-2-3. 컴퓨터 환경별 운영체제 연산 이동 - 분산운영체제시스템에서 서로 다른 컴퓨터 간에 많은 양의 파일을 처리하기 위하여 액세스하려고 할 때 적절한 이동 방법 분산시스템의 특성 - 범용 프로세서들을 포함한 자원들은 물리적으로 분산되어 있고 통신망을 통하여 상호 연결되어야 함 - 적은 비용으로 좋은 성능을 낼 수 있음 - 시스템의 확장이 쉽고 어느 한 시스템이 고장을 일으켜도 나머지 정상적인 시스템에 의하여 전체 시스템이 정상적으로 운영되므로 높은 신뢰성을 갖는 장점이 있음 - 프로세서들을 포함해서 분산된 자원들이 사용자에게는 보이지 않으며 사용자는 이 시스템을 가상의 단일 프로세서를 가진 시스템을 보고 사용할 수 있어야 함 시분할 시스템의 특징 - 각 사용자는 기억장치에 독립된 프로그램을 가짐 - 많은 사용자들이 동시에 컴퓨터를 공..
[디지털포렌식전문가 2급 필기] 2-2-2. 운영체제의 분류 기업용 서버의 운영체제 구성 형태 - 다중-사용자, 다중-태스킹 운영체제 다중 프로그래밍 - 여러 개의 프로세스들이 컴퓨팅 시스템의 메모리와 CPU 시간을 공유하여 동시 수행 - 가상 메모리 기법을 통하여 프로세스 간의 메모리 보호가 가능 - 단일 코어 CPU를 가진 컴퓨팅 시스템에서도 적용 가능
[디지털포렌식전문가 2급 필기] 2-2-1. 운영체제의 역할 및 기능 운영체제의 주요 역할 - 사용자 인터페이스 제공 - 프로세스 관리 - 메모리 관리 컴퓨터 시스템 내에 있는 각종 자원들의 특성 - 공용 자원 : 여러 개의 프로세스가 공용으로 사용 가능한 자원 - 선점 가능 자원 : 어떤 프로세스에 할당되어 사용되던 자원이 자원의 할당 정책이나 특정 이유에 의해 사용이 잠시 중단되고 다른 프로세스에게 자원의 사용권을 넘겨줄 수 있는 자원 - 비선점 자원 : 일단 어떤 프로세스에게 할당되면 그 프로세스가 완전히 사용한 후 반환하기 전까지 다른 프로세스에게 자원의 사용권을 빼앗기지 않는 자원 버퍼링 (Buffering) - 입출력이 일어나는 동안 입출력 장치와 CPU 간의 처리 속도 차이에서 발생하는 CPU의 대기 시간을 최소화하는 작업 컴퓨터 시스템에서의 자원 - 네트워크..