본문 바로가기

디지털 포렌식 (Forensic)

(62)
[디지털포렌식전문가 2급 필기] 4-1-1. 데이터베이스 개념 데이터베이스 - 통제된 중복이 허용된 통합된 데이터 - 컴퓨터가 접근할 수 있는 저장 매체에 저장된 데이터의 집합 - 조직의 고유 기능을 수행하기 위하여 반드시 유지해야 할 데이터 - 데이터베이스 파일에서 레코드만 삭제된 경우에는 데이터베이스의 스키마 테이블을 이용하여 파일 내에 존재하는 비할당 영역에서 삭제된 레코드를 해석하여 추출할 수 있음 - 데이터베이스 서버는 중요한 정보가 없더라도 애플리케이션 취약점이 존재하는 경우 해킹 공격의 경유지로 활용될 수 있음 - MS-SQL 서버에서 sa 계정은 데이터베이스 서버 설치 시 자동으로 생성되며 관리자 계정을 뜻함 데이터 중복성으로 인하여 야기될 수 있는 문제점 - 데이터 간에 불일치가 일어나 내부적으로 데이터 일관성(consistency)이 없게 됨 - ..
[디지털포렌식전문가 2급 필기] 3-2-5. 네트워크 증거 수집 방법 네트워크 장비에서 증거 수집 방법 - 네트워크 구성도를 파악하여 어떤 위치에서 어떤 정보를 수집할지 확인 - 네트워크 장비의 시스템 시간과 현재 정확한 시간과의 오차를 확인해야 함 - 사용자 컴퓨터에서 무선 및 LAN 카드를 통해 전송되는 패킷들을 터미널에 출력하기 위하여 Windump를 사용할 수 있음 리눅스 홈페이지에 과도한 HTTP GET 요청이 발생하여 서비스 거부 현상이 발생하였을 때 공격지 IP를 확인할 수 있는 방법 - access.log 파일을 통하여 웹 접근 이력을 확인
[디지털포렌식전문가 2급 필기] 3-2-4. 네트워크 공격 유형 DDoS (서비스 거부 공격) - 여러 대의 컴퓨터를 일제히 동작하게 하여 특정 사이트를 공격하는 해킹 방식 - 목표 서버가 다른 정당한 신호를 받지 못하게 방해하는 작용만 함 - 분산 서비스 거부 공격의 대표적인 도구로는 트리누(Trinoo)와 트리벌 플러드(TFN : Tribal Flood Network), 슈타첼드라트(Stacheldraht) 등이 있음 ARP 프로토콜의 동작 과정 1. 송신 호스트는 수신 호스트 IP 주소를 입력한다 2. 송신 호스트의 네트워크 계층에서 자신의 MAC 주소와 목적지 IP 주소로 ARP 패킷을 브로드캐스트한다. 3. 자신의 IP 주소를 확인한 수신 호스트가 자신의 MAC를 ARP 패킷으로 전송한다. (ARP 스푸핑을 위해 개입하는 단계) 4. 송신 호스트는 수신 호스..
[디지털포렌식전문가 2급 필기] 3-2-3. 네트워크 보안 침입차단시스템 (Firewall) - 침입차단시스템은 외부 망에서 내부 망으로 접근하는 주요 입구에 설치되어야 함 - ACL (Access Control List)을 기반으로 패킷 헤더를 검색해 패킷을 선택적으로 허용 또는 거부 - 침입차단시스템은 NAT(Network Address Translation) 기능을 이용하여 내부 사용자의 IP가 외부에 공개되지 않도록 할 수 있음 침입차단시스템의 주요 기능 - 접근 통제 규칙에 의한 접근 제어 - 허가받은 객체만 접근할 수 있도록 통제하는 식별 및 인증 - 보유한 데이터에 대한 불법 변조를 방지하는 무결성 점검 - IP와 포트 정보를 기반으로 방어하는 개념 방화벽의 특성 중 서비스 제어 - 안에서 밖으로 혹은 밖에서 안으로 접근할 수 있는 인터넷 서비스 유..
[디지털포렌식전문가 2급 필기] 3-2-2. 네트워크의 종류 무선랜을 안전하게 사용하기 위한 방법 - AP를 보호하기 위하여 전파가 건물 내부로 한정되도록 전파 출력을 조정 - AP에 접근 가능한 MAC 주소를 기록하여 사용 - SSID를 설정하고 WEP을 이용하여 암호화 LAN (근거리 통신망) - 확장성과 재배치성이 좋음 - LAN이 구축되는 거리는 수 km 이내로 제한 - 네트워크 내의 접속 기기간의 전송 가능 - 광대역 전송 매체의 사용으로 고속 통신 가능 - 여러 장치를 서로 연결한 데이터 통신 시스템 - 모델은 사용자의 관점에 따라 대등 대 대등 LAN으로 구성될 수 있음 - 통신을 하기 위한 하드웨어와 소프트웨어의 조합. 하드웨어는 개략적으로 자국, 전송 매체, 연결 장치로 나눌 수 있음 - MAC 주소를 사용하여 침입자를 추적할 수 있는 네트워크 환..
[디지털포렌식전문가 2급 필기] 3-2-1. 네트워크 이해 ARP (Address Resolution Protocol) - 목적지 IP 주소를 목적지 MAC 주소로 변환해 주는 프로토콜 - ARP 캐쉬는 가장 최근에 매핑된 IP와 하드웨어 주소를 관리 - ARP 스푸핑 공격의 원인이 됨 - 네트워크 주소(IP)는 알고 있지만 링크 레이어(이더넷) 주소를 모를 때 사용 - ARP Spoofing 공격에 대하여 취약점 존재 - 주소 매핑을 위해 브로드캐스팅 패킷을 이용하기도 함 - 논리적인 IP 주소를 물리적인 MAC 주소로 변경하는 역할 - ARP 패킷은 네트워크 계층을 통하여 다른 네트워크로 넘어갈 수 없음 - ARP 스푸핑 공격이란 잘못된 맥주소로 패킷을 보내는 것을 의미 NIC (Network Interface Card) - promiscuous 모드로 변경..
[디지털포렌식전문가 2급 필기] 3-1-3. 기타 응용 프로그램 MKV - 최근에 개발된 코덱으로 비디오와 자막을 함께 저장할 수 있는 것 스테가노그래피 (Steganography) - 디지털 포렌식 프로그램으로서 전달하려는 기밀 정보를 그래픽, 사진, 영화 소리 파일 등에 암호화하여 숨기는 심층 암호 기술 - 데이터 은닉 기법 중 하나로 전달하려는 기밀 정보를 JPEG, MP3 등의 멀티미디어 파일이나 HWP, DOC 등의 문서 파일에 인간의 인지 능력으로는 원본과 구별 불가능 하도록 숨기는 방법 스테가노그래피에서 사용하는 툴이 아닌 것 - StegDetect 디가우저 - 디지털 포렌식을 우회하기 위한 안티-포렌식 기법 중 하나 - 물리적 하드디스크에 강한 자석 성분을 접근시켜 자화시키는 방법 안티-포렌식 응용 프로그램 - 비트락커 : Microsoft 사의 Win..
[디지털포렌식전문가 2급 필기] 3-1-2. 전자우편 전자우편 - Outlook 같은 전자우편 프로그램을 사용할 경우 이메일 데이터를 삭제하더라도 데이터의 복구가 가능 - 포렌식 관점에서는 사건 정황을 이해하고 범행 증거 자료 수집을 위한 중요한 자료로 활용 - Microsoft Outlook에서 개인 폴더 파일인 '.pst' 파일은 사용자 컴퓨터 시스템에 이메일을 저장하는 데이터 이메일 헤더 - 송신자가 수신자에게 이메일을 보낼 때 거치는 경로 정보를 저장 - 이메일 서버가 할당한 고유 번호인 메시지 ID를 담음 전자우편 헤더에서 확인할 수 없는 사항 - 메일이 경유한 라우터 목록 이메일 클라이언트 - 대부분의 이메일 클라이언트가 지원하는 중요한 프로토콜은 MIME - MIME는 이메일 클라이언트를 통하여 이진 첨부파일을 보낼 때 사용 - MAPI는 Mi..
[디지털포렌식전문가 2급 필기] 3-1-1. 웹 브라우저 쿠키 - 쿠키의 분석을 통하여 특정 사이트에 접속한 사용자의 아이디 또는 패스워드에 관한 정보 얻을 수 있음 - 개인 ID와 비밀번호, 방문한 사이트 등의 정보가 담겨 있음 - 사용자의 다음 방문시 웹 서버는 그가 누구인지 등에 대하여 바로 파악 가능 리퍼러 로그 파일 (Referrer Log File) - 사용자가 사이트를 방문하기 위하여 어떠한 검색엔진으로부터 어떤 키워드를 사용하였는지를 알 수 있으며, 사용자가 경유한 URL 경로를 알 수 있음 Windows 7 사용자가 IP 주소를 얻어오는 순서 - 캐쉬 > Hosts 파일 > 로컬 DNS 서버 FireFox3 places.sqlite 파일은 웹 히스토리를 저장 cookies.sqlite 파일은 쿠키를 저장 places.sqlite의 moz_his..
[디지털포렌식] 2-2-7. Linux 기반 시스템 logrotate - 로그 파일을 기록할 수 있는 볼륨이 크지 않아 자주 Disk Full 상황이 발생할 때 선택할 수 있는 도구 mod_security - Apache 웹 서버의 보안을 강화하기 위한 웹 보안 프로그램 리눅스 시스템에서 사용할 수 있는 보안 도구 - 와이어샤크 : 네트워크 패킷 수집 및 분석, 패킷 스니핑과 프로토콜 분석 도구 - TCPWrapper : IP 접근 제어 - nmap : 네트워크 포트 스캔, 오픈 소스로 사용하기 용이, 가벼운 포트 스캐너 및 네트워크 분석 도구의 역할을 할 수 있는 프로그램 - netcat : 포트 스캔, 파일 전송, 커맨드 라인에서의 원격 네트워크 서비스의 상호작용 등 광범위한 용도를 위해 사용될 수 있음 - shadow password : /etc/p..