IT EVERYTHING

데이터의 표현

우리가 쓰는 컴퓨터는 0과 1을 사용하고 있다. 

데이터의 물리적 단위

실제로 사용 중인 물리적 장치에서 저장될 때 사용되는 단위로는 Bit가 최소단위로 사용된다.

최근 저장 장치가 발달하면서 용량이 증가하여 기가바이트 단위가 주로 사용된다.

물리적 단위

비트 :

binary digit의 약자

최소단위

0과 1로 이루어짐

쿼터 : 2bit

니블 : 4bit

바이트 : 8bit

워드 : 16bit

더블 워드 : 32bit

쿼드 워드 :64bit

데이터의 논리적 단위

디스크에 어떠한 집합체로 저장되는 것을 논리적 단위로 볼 수 있다. 이러한 특성 때문에 논리적 단위는 정보를 저장 및 처리하는데 사용한다. 논리적 단위의 내부는 물리적 단위로 구성되므로 물리적 단위에 대한 이해가 있어야 포렌식 분석에서 논리적 단위의 내부를 파악할 수 있다.

논리적 단위

필드 : 

여러 개의 byte나 워드가 모여 이루어짐

파일 구성의 최소단위

레코드(논리적 레코드) : 프로그램 내의 자료 처리 기본 단위

블록(물리적 레코드) : 저장 매체에 입출력될 때의 기본 단위

파일 : 관련된 레코드의 집합으로 하나의 프로그램 처리 단위

데이터 베이스 : 집합으로 계층적 구조를 갖는 자료 단위

빅 엔디안 과 리틀 엔디안

저장 장치에 저장될 때 크게 두가지의 방식으로 저장된다. 

리틀 엔디안

ex ) 0A0B0C0D -> 0D0C0B0A

빅엔디안

ex ) 0A0B0C0D -> 0A0B0C0D

빅 엔디안을 사용하는 시스템 : 마이크로프로세서, 네트워크상 통신 등등

리틀 엔디안을 사용하는 시스템 : 인텔 프로세서, 알파 프로세서 등등

빅 엔디안 계산 방식 :

01011110 10100001 -> 숫자를 4개씩 끊어서 16진수로 바꿔 읽는다.

-> 0x5EA1

리틀 엔디안 계산 방식 :

01011110 10100001 -> 숫자를 4개씩 끊어서 16진수로 바꿔 읽는다. 리틀 엔디안은 뒤에서부터 읽어준다.

-> 0xA15E

-> 10100001 01011110

시간 정보

시간 정보는 사건이 발생한 시점에 대한 행위를 파악할 수 있는 중요한 정보이므로 디지털 포렌식 관점에서 매우 중요한 정보이다. 또한, 분석 때에는 현지시각의 정보로 변환하여 분석하여야 한다. 

1) GMT

영국 런던에 있는 그리니치 천문대를 기준으로 한 평균 태양시이다.

서울은 동경 127도 표준 자오선을 가지지만, 시간은 동경 135도인 일본 표준시 JST를 사용하고 있다. 따라서, 현재 서울의 시간은 GMT + 9시간을 사용 중이다.

2) UTC

1972년 1월 1일 세계 표준시로 규정되었다. 

원자시를 사용하기 때문에 자전 주기와 무관하다. 따라서, 시간이 흘러도 시간이 변할 가능성은 거의 없게 된다. 

서울은 UTC + 9시간을 사용한다.

시간 정보 표현방식

1. MS-DOS Date / Time : 날짜와 시간을 각각 2byte씩 할당되어 총 4byte로 저장하는 방식으로 시간정보의 범위가 제한적이다.

시작시간 : 1980년 01월 01년 (00 : 21 : 00 : 00)

종료시간 : 2107년 12월 31일 23:59:58 (FF : 9F : BF : 7D)

FTK Imager는 디스크 이미징 작업에 많이 쓰인다.

FTK Imager 다운로드 방법

https://accessdata.com/product-download

들어간후 , 다운받으면 된다.

Hxd Editor 인터페이스

파일 : 파일의 열기, 저장, 인쇄가 가능한 메뉴이다.

편집 : 파일의 복사, 붙여넣기 등이 있는 메뉴이다.

찾기 : 찾기, 찾아 바꾸기, 특정 오프셋으로 이동 등 설정이 가능하다.

보기 : 화면에 표시되는 데이터 표현(아스키, 16진수 등) 설정이 가능하다.

분석 : 파일의 해시값 분석 및 두 개의 파일을 비교할 수 있다.

도구 : 물리적인 장치와 이미지 분석할 때 사용되는 메뉴이다.

분석 대상에 따른 열기 방법

램 : 도구 > 메인 메모리 열기

물리 디스크 : 도구 > 디스크 열기

디스크 이미지 : 도구 > 디스크 이미지 열기

Hxd Editor 라는 툴에 대해서 알아볼 것이다.

Hxd Editor : 헥사 편집기 또는 헥사 코드 편집기는 기존의 일반 컴퓨터의 워드프로세서 및 편집기 소프트웨어에서 읽을 수 없는 이진 파일을 읽을 수 있는 프로그램을 통틀어서 말한다.

Hxd Editor 다운 방법

1. 구글 검색창에 Hxd Editor를 쳐서 위에 있는 사진 안에 있는 사이트로 들어간다.

2. 밑으로 내려가다보면 위에 있는 사진처럼 이런게 뜨는데 OS 를 보고 잘 선택을 해주어서 설치를 진행하면 된다.

출처 : https://ko.wikipedia.org/wiki/%ED%97%A5%EC%82%AC_%ED%8E%B8%EC%A7%91%EA%B8%B0

디지털 포렌식을 하는 데 있어 메모리와 저장장치는 거의 모든 검사에서 중추적인 역할을 한다.

반면에 프로세서나 CPU는 거의 도움이 되지 않는다. 

이제부터 기본적인 컴퓨터 환경에 대해 광범위하게 살펴보자..!

<수의 체계>

컴퓨터에서는 모든 것이 1과 0으로 이루어져 있다. 컴퓨터는 바이너리라고 불리는 2진수 언어를 사용한다.

각 1과 0을 비트라고 부른다.

사람들은 10진수라는 것을 사용하는데 , 10진수는 0에서 9까지의 숫자를 사용한다. 

컴퓨터는 더 신속하게 계산하기 위해 비트 여러 개를 모아서 작업을 한다. 이러한 비트가 여러 개 모인 것을 바이트 라고 부른다. 

이 바이트라는것은  8개의 비트로 이루어져 있으며 10110101과 같이 표현되는것이 바이트이다.

2진수를 좀 더 읽기 쉽게 해주는 방법은 바로 헥사데시멀(hexadecimal) 이다.

<헥사데시멀>

헥사데시멀 또는 헥스는 16진수로 바이너리를 좀 더 편하게 표시할 수 있는 방법이다. 

16진수는 숫자 0부터 9까지 그리고 문자 A부터 F까지 사용해서 나타낸다. 

<ASCII와 유니코드>

어떻게 1과 0들이 A와 B로 표시되는걸까 ?? 컴퓨터는 인코딩을 사용하여 바이너리를 사람이 읽을 수 있는 문자로 변환한다. 

인코딩 방법에는 두가지가 있다. 첫번째는 ASCII , 두번째는 유니코드이다.

ASCII 는 영어를 표시하기 위해 사용하는 인코딩 방법이다. ASCII는 128개의 문자를 정의하며 이 중에서 94개의 문자만이 실제로 출력될 수 있다. 

유니코드는 전 세계의 모든 언어를 표시하기 위해 사용되며 수천 개의 문자로 이루어져 있다.

여러 상황을 보면 조사관은 "비트", "바이트" 수준에서 데이터를 살펴보고 증거를 검색, 축출 및 해석해야 하는 경우가 많다. 이러한 상황은 카빙이라고 불리는 프로세스에서 가장 명확하게 드러난다.

파일 카빙은 할당되지 않은 공간처럼 특정한 형태가 없는 데이터를 바탕으로 파일의 위치를 확인하고 복원하기 위해 사용한다.

파일 카빙을 좀 더 쉽게 말하자면 파일의 시그니처랑 푸터를 확인하면서 파일을 일일히 복구하는 작업이라고 말할 수 있다.

법과학

포렌식이나 법과학은 법적 문제를 해결하기 위해 과학의 힘을 빌리는 것이다. 포렌식에서 법과 과학은 항상 혼합 되어 있다. 다른 하나를 고려하지 않고서는 다른 것을 적용할 수 없다. 세상에서 가장 훌륭한 과학적 증거라고 할지라도 법정에서 인정하지 않으면 아무 소용이 없다.

디지털 포렌식

포렌식 매거진에서 켄 자티코는 다음과 같이 디지털 포렌식을 정의 하였다.

"정식 수색 기관, 연계보관성, 수학을 통한 검증, 검증된 툴의 사용, 반복가능성, 보고 그리고 가능하다면 전문가의 설명 등을 통해 디지털 증거와 관련하여 컴퓨터 공학과 수사절차를 법적인 목적에 적용하는 것"

정리해서 짧게 말하자면 디지털 증거를 법적으로 사용한다는 뜻이다.

로카르드의 교환법칙

로카르드의 교환법칙은 물리적 세계에서 범죄자가 범죄현장을 드나들 때 범죄자는 흔적을 남기고 나갈 때 무엇인가 가지고 간다는 것이다. 예로 DNA, 숨은 지문, 머리카락, 섬유등이 있다.

주요 기관

Scientific Working Group on Digital Evidence

American Academy of Forensic Sciences

American Society of Crime Laboratory Directors