[CISSP] Domain7_Security Operations (4/6)

4. 컴퓨터 범죄 수사

 

 

 1. 컴퓨터 포렌식

   - 저장매체에 들어 있는 데이터를 대상으로 복구

   - Electronic Dumpster Diving (=Scavenging) : 일부분이 파괴됐거나 삭제된 것처럼 보이는 데이터를 복구

   - 기밀성 보장된 안전한 상태 유지하며, 포렌식 도구는 (법원) 공인된 제품 사용

   - 도구(포렌식툴)

     (1) EnCase Guidance - 수집, 검증, 검색, 보고 등

     (2) S/W, X-Ways Forensics - 수집, 검증, 검색, 보고 등

     (3) Mac Marshall - 다용도 매킨토시 포렌식툴

     (4) Raptor Forward Discovery - 리눅스 기반 수집/프리뷰

     (5) Dossier Logicube - 하드웨어 수집

     (6) Wiebetech - 저장장치, 쓰기 방지

 

 

 2. PDA 포렌식

   - 전원이 꺼져 있을 경우 켜지 말아야 한다. -> 데이터 삭제될 수 있음

   - PDA를 Evidence bag(봉투)에 넣기 전 보호기능이 있는 봉투에 넣고 밀봉

   - Obstructed devices(방해받은 기기) : 전원이 꺼져 있어서 접근을 하기 위해 패스워드 인증을 요구하는 장비

   - Obstructed devices 추출방법 : (1) Investigative 방법 : 용의자 심문, 증거 획득물

                                               (2) Software 기반 : 인증 메커니즘을 우회하기 위해 사용 (백도어, 취약점)

                                               (3) Hardware 기반 : 메모리칩 검사하여 정보 추출, 무차별 공격

 

 

 3. 휴대폰 포렌식

   - 휴대폰 포렌식의 힘듬 점 :  다양한 OS

 

 

 4. 안티 포렌식

  1) 데이터 위생처리

   - Overwrite : 디스크 미할당 공간 덮어쓰는 방식 (매체 재활용)

   - Degaussing : 강력한 자석을 이용 자기상태를 중화

   - Destruction : 가장 강력한 위생처리 (분쇄, 연마, 염산처리)