# Chapter 8
- 인터넷 & 이메일
<인터넷 개요>
‘웹 페이지’
- 작동 과정
1. 사용자
-> 브라우저의 주소창에 웹주소/URL을 입력
/*브라우저 : 인터넷에 있는 정보를 보고 + 접속할 때 사용하는 프로그램
ex : 인터넷 익스플로러, 모질라의 파이어폭스, 구글의 크롬
/*URL : 호스트, 도메인 이름, 파일 이름 으로 구성되어 있다.
-> ex : http://www.digitalforensics.com
HTTP, 하이퍼텍스트 전송 규약
: 인터넷에서 사용되는 프로토콜
웹사이트를 보고 + 사용하는 데 활용된다.
-> http
도메인 이름
:
-> digital forensics
최상위 도메인
: 인터넷 도메인 네임 시스템을 구성하는 요소 중에 최상단에 위치해 있다.
-> .com
-> 이외에도 .org/.edu/.net 등… */
2. 브라우저 -
> HTTP 프로토콜을 사용해 http://www.digitalforensics.com을 호스트하는 서버에 “get” 요청을 전송
3. 브라우저 – 도메인 네임 서버(DNS)
-> 도메인 이름을 IP 주소로 변환
(인터넷은 IP 주소로 작동, 도메인 이름 자체로는 아무것도 할 수 없다.
도메인 이름은 그냥 사람들이 기억하기 쉽게 하기 위한 것 일 뿐)
4. 변환 후, 웹사이트를 호스트하고 있는 서버에 요청이 전송된다.
5. 서버
-> 요청을 받아 요청된 웹페이지와 관련된 내용을 보여준다.
- 구성 요소
1. HTML, 하이퍼텍스트 생성 언어
: 브라우저에서 페이지가 표시되는 방법, 페이지의 내용 등 많은 정보 포함
프로그래밍 언어가 아니다.
- 웹페이지의 종류
1. 정적
: 이미 만들어져 있는 페이지
페이지의 내용, 레이아웃 등 모두 페이지을 읽어오기 전에 이미 결정되어 있다.
2. 동적
: 요청과 동시에 만들어지는 페이지
요청이 될 때까지 존재하지 않는다.
데이터베이스에 저장되어 있는 여러 구성요소로 만들어진다.
*자바스크립트 : 클라이언트 측 기술
<-> 서버 측 코드 : 다른 컴퓨터에 정보를 보내야 할 때 사용된다.
*Whois : 특정 도메인 이름과 관련이 있는 개인/업체를 식별할 때 사용하는 검색 쿼리
Whois 검색
-> 해당 도메인 등록자, 도메인 생성 날짜, 관리자 연락처, 기술담당 연락처 등의 내용을 볼 수 있다.
(사생활 보호 등록 서비스가 되어 있으면 등록 회사 정보밖에 못 봄.)
‘P2P(Peer-to-Peer)’
: 파일을 공유하는 데에 주로 사용됨
P2P 네트워크에서는 하나의 컴퓨터가 두가지 역할 (클라이언트/서버)을 할 수 있다.
P2P 네트워크 사용을 위해서는
-> 클라이언트 프로그램을 다운로드해서 설치
-> 사용자는 다른 사용자가 다운로드할 수 있는 파일이 저장되어 있는 “공유”폴더 생성
-> 사용자는 다운로드하고 싶은 파일을 검색
-> 사용자가 파일을 다운로드하면 지정된 폴더에 파일이 다운로드 됨
(HTTP를 사용하여 파일 전송)
‘그누텔라’
: P2P네트워크 시스템, 아키텍처에 사용되는 주요 기술 중 하나.
- 그누텔라 요청
: P2P 네트워크에서 파일 요청이 끝없이 전파되는 것 방지
*TTL (Time To Live)값 -> 네트워크의 다른 노드에 전달될 때마다 -1씩 -> 이 숫자가 0이 되면 패킷은 전파를 중단
- 그누텔라 노드 종류
1. 울트라피어 : 필요한 대역폭과 가동 기간이 있음
검색, 인덱싱, 연결 등을 가능하게 하는 추가적인 임무 수행
2. 리프
<INDEX.DAT 파일>
: 바이너리 파일
마이크로소프트의 인터넷 익스플로러 (IE)가 사용된다.
이 파일들은 각 디렉터리에 있는 정보 + 내용을 기록하고 유지하는 데 사용된다.
<웹 브라우저 – (마이크로소프트) 인터넷 익스플로러>
‘브라우저’
ex : 인터넷 익스플로러, 크롬, 파이어폭스, 사파리 ….
: 모든 브라우저의 근본은 동일한 원리로 작동하고 있다.
‘쿠키’
: 웹 서버가 사용자의 컴퓨터에 저장해 놓은 작은 텍스트 파일.
다양한 용도로 사용 가능
- 세션 관리
- 특정 웹사이트에서 사용자의 선호사행 기억
-> 개별화 가능케 해준다.
INDEX.DAT 파일에서 관리된다.
쿠키 값을 해독해 주는 툴 존재
(이게 없으면 해독하기 힘듦)
‘임시 인터넷 파일(웹 캐시)’
- 캐시
: 컴퓨터에서 데이터나 값을 미리 복사해 놓는 임시 장소
“캐시의 접근 시간 < 원래 데이터에 접근하는 시간” 인 경우,
다시 계산하는 시간을 절약하고 싶은 경우 사용
- 웹캐시
: 다운로드 시간을 단축
캐시는 웹 페이지 구성요소를 재사용해
-> 동일한 파일을 여러 번 다운로드해야 하는 시간 단축
-> 속도 향상
인터넷 익스플로러
-> 웹 캐시를 “임시 인터넷 파일” 이라고 부름
: INDEX.DAT 파일을 통해 관리된다.
사용자는 윈도우 탐색기를 통해 “임시 인터넷 폴더”를 볼 수 있음.
- 여기에 있는 내용을 목록화하여 보여준다.
- **사용자가 보는 파일들은 실제 내용을 가상화하여 보여주는 것
: 실제 파일들은 임시 인터넷 폴더의 하부 디렉터리에 저장되어 있다. (이게 무슨 소릴까)
- 썸네일 + 웹 페이지 정보의 조각들로 구성
*캐시 & HTTPS
: HTTPS 는 보안이 강화된 웹 기반 이메일/전자 상거래 등에 이용된다.
“HTTP 프로토콜 + 보안 기능”인 버전
보안적인 이유로 IE의 기본 설정에서 HTTPS 웹 페이지를 캐시하지 않는다.
-> 캐시에 저장되지 않음
-> 관련 데이터를 캐시에서 찾을 수 없음
‘인터넷 기록’
: 인터넷 익스플로러는 사용자의 기록을 유지
-> 인터넷 기록이 남게 된다.
‘레지스트리에 있는 인터넷 익스플로러의 흔적’
: IE는 매일 레지스트리에 많은 흔적을 남긴다.
사람이 직접 레지스트리를 읽을 수는 없음
-> 툴이 필요
‘메신저 프로그램’
: 다른 프로그램들과 다르게 메신저 프로그램은 설치여부를 흔적으로 남긴다.
연락처/친구 목록을 유지한다.
-> 여러 사람과의 관계 확인에 유용
‘IRC(Internet Relay Chat)’
: 감독하는 사람이 부족하다.
-> 범죄활동에 활용되기 쉬움
정식적인 등록 과정이 없음
-> 거의 완전한 익명성이 보장된다.
여러 개의 소규모 네트워크로 구성되어 있음
사용자들은 자신만의 채팅방/채널 생성
클라이언트 직접 연결 기능
-> 두 사용자가 하나의 컴퓨터에서 상대방의 컴퓨터로 직접적으로 연결할 수 있게 해준다.
-> 아무런 증거 X, 사생황 완전히 보장
-> 범죄에 악용 가능
‘ICQ(“I Seek You”)’
: 높은 수준의 프라이버시 유지됨
등록 과정이 있다.
–> 등록된 사용자에게 사용자 식별 번호/UIN이 부여됨
<이메일>
: 가장 훌륭한 잠재적 디지털 증거
영속성 강함
‘이메일 접속’
1. 인터넷으로 접속
2. 이메일 클라이언트 프로그램 사용
- 클라이언트 프로그램 : 이메일 작업을 위해 설계된 이메일 전용 프로그램
- ex : 아웃룩, 위도우 라이브 메일 (아웃룩>윈도우 라이브 메일)
‘이메일 프로토콜’
1. 단순 우편전송 규약
2. 우체국 프로토콜
3. 아이맵
‘증거로서의 이메일’
- 이메일에서 수집할 수 있는 증거
: 사건 관련 내용 이메일, 이메일 주소, IP주소, 날짜, 시간
- 이메일 주요 구성 요소
: 헤더, 바디, (첨부 파일)
헤더 : 송신가자 수신자로 이메일을 보낼 때 거친 경로 정보, 서버를 거칠때마다 추가됨
바디 : 메세지 그 자체
‘이메일 – 흔적 지우기’
“스푸핑”
: 이메일이 실제로 다른 사람/위치로부터 보내진 것처럼 위조하는 것.
‘이메일 – 추척하기’
“메세지 ID”
: 이메일 서버가 할당하는 고유 번호
(메세지 ID – 서버의 로그) 상관관계를 확인
-> 특정 컴퓨터에서 메세지가 송수신되었다는 사실 증명 가능
'포렌식 > [디지털 포렌식] 요약' 카테고리의 다른 글
| 디지털 포렌식 # 10장 (0) | 2021.02.14 |
|---|---|
| 디지털 포렌식 # 5장 (0) | 2021.02.08 |
| 디지털 포렌식 # 9장 (0) | 2021.02.07 |
| 디지털 포렌식 # 6장 (0) | 2021.02.04 |
| 디지털 포렌식 # 3&4장 (0) | 2021.01.20 |